Edgar Bangkok
16-03-2009, 04:04
lunedì 16 marzo 2009
Ricordo come sempre che gli indirizzi web elencati nel post sono attivi e linkano a file malware poco riconosciuto. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file eseguibile.
Un nuovo tema e' da oggi 'disponibile' sulle pagine di Waledac botnet che ci propongono una falsa pagina di news da parte della nota agenzia Reuters
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/waledac%20reuters%20attack/mainbangkok2009-03-16_091920.jpg
Come vediamo, utilizzando la geo localizzazione dell'indrizzo IP il testo del messaggio si adatta al paese di provenienza del visitatore. (in questo caso Bangkok (da dove scrivo) come luogo del falso attentato).
Esaminiamo in dettaglio il sorgente della pagina:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/waledac%20reuters%20attack/source.jpg
Come si vede questa volta abbiamo piu' links rispetto alle precedenti pagine Waledac con l'intento di sfruttare meglio la curiosita' di che visitasse la pagina ed ingannarlo meglio sulla autenticita' della notizia.
Sono infatti anche presenti due links (in giallo sullo screenshot del source ) , senza collegamenti a malware, che puntano rispettivamente ad una ricerca Google
(img sul blog)
che propone collegamenti a fatti riferiti in modo specifico alla localita' citata sulla pagina Waledac ed inoltre un link a Wikipedia
(img sul blog)
che propone una spiegazione sul tipo di 'attacco' messo in atto.
Naturalmente sia cliccando sull'immagine del falso player che sul link ad un ipotetico install flash viene scaricato il file eseguibile malware che, anche questa volta muta, continuamente, in tempi brevi, sia come nome che come dimensione del file e codice,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/waledac%20reuters%20attack/files.jpg
modificando cosi' anche la risposta del riconoscimento malware
A breve intervallo di tempo infatti avevamo con VT
(img sul blog)
ed anche
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/waledac%20reuters%20attack/vtsecondo.jpg
Sulla pagina e' sempre presente anche l'Iframe (in verde sullo screenshot del source ) che punta ad altra pagina che al momento sembrerebbe solo attiva forse per tracciare meglio chi visitasse il sito Waledac ma non escludendo la eventuale possibilita' che ad essa possano venire associati exploit di vario genere.
Edgar :D
fonte : http://edetools.blogspot.com/2009/03/reuters-thailand-terror-attack-in.html
Ricordo come sempre che gli indirizzi web elencati nel post sono attivi e linkano a file malware poco riconosciuto. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file eseguibile.
Un nuovo tema e' da oggi 'disponibile' sulle pagine di Waledac botnet che ci propongono una falsa pagina di news da parte della nota agenzia Reuters
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/waledac%20reuters%20attack/mainbangkok2009-03-16_091920.jpg
Come vediamo, utilizzando la geo localizzazione dell'indrizzo IP il testo del messaggio si adatta al paese di provenienza del visitatore. (in questo caso Bangkok (da dove scrivo) come luogo del falso attentato).
Esaminiamo in dettaglio il sorgente della pagina:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/waledac%20reuters%20attack/source.jpg
Come si vede questa volta abbiamo piu' links rispetto alle precedenti pagine Waledac con l'intento di sfruttare meglio la curiosita' di che visitasse la pagina ed ingannarlo meglio sulla autenticita' della notizia.
Sono infatti anche presenti due links (in giallo sullo screenshot del source ) , senza collegamenti a malware, che puntano rispettivamente ad una ricerca Google
(img sul blog)
che propone collegamenti a fatti riferiti in modo specifico alla localita' citata sulla pagina Waledac ed inoltre un link a Wikipedia
(img sul blog)
che propone una spiegazione sul tipo di 'attacco' messo in atto.
Naturalmente sia cliccando sull'immagine del falso player che sul link ad un ipotetico install flash viene scaricato il file eseguibile malware che, anche questa volta muta, continuamente, in tempi brevi, sia come nome che come dimensione del file e codice,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/waledac%20reuters%20attack/files.jpg
modificando cosi' anche la risposta del riconoscimento malware
A breve intervallo di tempo infatti avevamo con VT
(img sul blog)
ed anche
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/waledac%20reuters%20attack/vtsecondo.jpg
Sulla pagina e' sempre presente anche l'Iframe (in verde sullo screenshot del source ) che punta ad altra pagina che al momento sembrerebbe solo attiva forse per tracciare meglio chi visitasse il sito Waledac ma non escludendo la eventuale possibilita' che ad essa possano venire associati exploit di vario genere.
Edgar :D
fonte : http://edetools.blogspot.com/2009/03/reuters-thailand-terror-attack-in.html