View Single Post
Old 21-05-2008, 04:52   #1
Edgar Bangkok
Senior Member
 
L'Avatar di Edgar Bangkok
 
Iscritto dal: Sep 2007
Messaggi: 467
[NEWS] Il ritorno di Storm Worm

21 maggio 2008

Dopo un periodo nel quale chi gestisce la rete botnet Storm Worm sembrava essere passato alla distribuzione di malware con il solo utilizzo di iframe e java scripts nascosti in varie pagine web abbiamo ora una nuova serie di mails di spam con il relativo link a pagina contenete malware.

Diversi siti pubblicano oggi in rete dettagli sulla nuova campagna di spam che linka a Storm Worm tra cui Dancho Danchev's Blog e sudosecure.net

Le mails sembrano , comunque, come sempre, essere indirizzate ad una utenza internet USA o comunque di lingua inglese.
Al momento sono attive le seguenti pagine a questi indirizzi

cadeaux-avenue(dot)cn
polkerdesign(dot)cn
tellicolakerealty(dot)cn

Ecco lo scarno contenuto della pagina
(img sul blog)

ed il relativo codice

(img sul blog)

dove si nota il download in automatico dopo 5 secondi di iloveyou.exe oppure se si clicca sul link il download del file loveyou.exe entrambi malware
E' anche presente l'immancabile sony.exe, non nel codice ma scaricabile se si linka nella url, sempre contenente il pericoloso malware.
(img sul blog)
Questo il testo di alcune mails di spam con oggetto la vendita di viagra e simili medicinali o links a siti porno e che in realta' linkano alle pagine StormWorm contenenti il malware
Al momento una analisi con Virus Total mostra, come sempre, la bassa percentuale di softwares che evidenziano la minaccia nel file scaricato.
(img sul blog)
Ed ecco un report generato da uno script autoit che mostra alcuni whois relativi ad uno dei domini storm e precisamente cadeaux-avenue(dot)cn che utilizzando la tecnologia della botnet fastflux linka a differenti pc compromessi sparsi nel mondo
(img sul blog)
Come al solito, sembrano comunque essere piu' numerosi i riferimenti ad IP relativi a pc locati in USA .
(img sul blog)
L'ipotesi di questo ritorno di StormWorm ad un sistema di “Social Engineering” per cercare di far scaricare il malware sul proprio computer viene spiegato da alcuni come un tentativo di rivitalizzare la rete botnet storm worm che sembra ultimamente essersi notevolmente ridimensionata.

Come al solito evitate sempre di aprire i links indicati nel post se non avete provveduto ad utilizzare adeguati sistemi di blocco degli script e del malware. (ad esempio addon NOSCRIPT su Firefox e Sandboxie)

Edgar

fonte: http://edetools.blogspot.com/
Edgar Bangkok č offline   Rispondi citando il messaggio o parte di esso