[NEWS] Un virus polimorfico (con dialer) per navigatori italiani

c.m.g · 31-01-2008, 10:01

mercoledì 30 gennaio 2008

Qualche giorno fa a proposito della chiusura dell'infame sito Callsolutions ho ricevuto una interessantissima segnalazione da Gmg (un utente molto preparato di hwupgrade)
a proposito di un sito spara virus estremente pericoloso.
Da quello che ho potuto osservare dovrebbe trattarsi di un virus polimorfico che tenta di installare un dialer.

Il nome del dominio gia' ci fa capire a chi sia destinato il malware.

hxxp://italiancollection.in/[edit...]/info/exe.php?id=xx

Variando i numeri dopo ?id= cambia la codifica del file.

Non sono riuscito a fare analisi con la sanbox di sunbelt e quindi non so se possa essere attribuito alla famiglia dialcall (callsolutions)

La scansione su virustotal da i seguenti risultati:

Quello che ho potuto notare è la difficolta' di kaspersky 7 nel riconoscere tale virus polimorfico.
Non so se il modulo PDM sia in grado di intercettare la minaccia.

Alcuni sample che ho inviato sono stati successivamente individuati dall'antivirus russo come Trojan.Win32.Dialer.XYZ
ma l'efficacia del prodotto è scarsa.

Ci sono degli aggiornamenti, seguire la discussione seguente.

Fonte: maipiugromozon blog - by maverick (alias mausap)

mausap · 31-01-2008, 19:30

A quanto sembra il virus anche se estremamente difficile da rilevare in tutte le sue mutazioni
non sarebbe tecnicamente "polimorfico" (analisi di TNT)
Resta comunque una "brutta bestia"
Mi scuso per l'errore.....

Bugs Bunny · 31-01-2008, 20:23

quindi non è polimorfico ma vi sono moltissime varianti?

mausap · 31-01-2008, 20:25

Quote:

Originariamente inviato da Bugs Bunny

quindi non è polimorfico ma vi sono moltissime varianti?

Citazione TNT:
"Beh poi vabbe' il termine "polimorfico" generalmente in campo malware viene usato per indicare un tipo di virus un po' diverso da questi dialer qui, ma il termine "polimorfico" in assoluto non e' completamente errato in quanto in effetti e' sempre lo stesso malware che viene ricreato e compresso con un runtime packer in modo da evadere le firme...

"

Bugs Bunny · 31-01-2008, 20:42

ok grz

eraser · 01-02-2008, 01:54

Una definizione carina e corretta sarebbe 'manual polymorphism', cioè una sorta di polimorfismo manuale, indotto grazie ad un packer che permette una rapida ricompressione - tutto server side.

Il dialer utilizza un driver 'CommDrv.sys'. I numeri utilizzati sono:

899161323 (Operatore: Voiceplus)
00881939100516 (Operatore: GMSS)
1784402345 (Operatore: Eutelia)

Che la mano sia russa o comunque est asiatica non penso vi siano grossissimi dubbi:

Così come non fanno neanche lavorare troppo sull'identificazione del tipo di malware, visto che lo lasciano scritto direttamente loro nel codice:

Codice:

D:\Business\ADWARE\Dialer\CommDriver\

Il resto del codice, a parte il packer e qualche altra caratteristica, non è di grandissimo interesse.

31-01-2008, 10:01	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] Un virus polimorfico (con dialer) per navigatori italiani mercoledì 30 gennaio 2008 Qualche giorno fa a proposito della chiusura dell'infame sito Callsolutions ho ricevuto una interessantissima segnalazione da Gmg (un utente molto preparato di hwupgrade) a proposito di un sito spara virus estremente pericoloso. Da quello che ho potuto osservare dovrebbe trattarsi di un virus polimorfico che tenta di installare un dialer. Il nome del dominio gia' ci fa capire a chi sia destinato il malware. hxxp://italiancollection.in/[edit...]/info/exe.php?id=xx Variando i numeri dopo ?id= cambia la codifica del file. Non sono riuscito a fare analisi con la sanbox di sunbelt e quindi non so se possa essere attribuito alla famiglia dialcall (callsolutions) La scansione su virustotal da i seguenti risultati: Quello che ho potuto notare è la difficolta' di kaspersky 7 nel riconoscere tale virus polimorfico. Non so se il modulo PDM sia in grado di intercettare la minaccia. Alcuni sample che ho inviato sono stati successivamente individuati dall'antivirus russo come Trojan.Win32.Dialer.XYZ ma l'efficacia del prodotto è scarsa. Ci sono degli aggiornamenti, seguire la discussione seguente. Fonte: maipiugromozon blog - by maverick (alias mausap) __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 02-02-2008 alle 00:53.

31-01-2008, 19:30	#2
mausap Senior Member Iscritto dal: Jan 2007 Messaggi: 308	A quanto sembra il virus anche se estremamente difficile da rilevare in tutte le sue mutazioni non sarebbe tecnicamente "polimorfico" (analisi di TNT) Resta comunque una "brutta bestia" Mi scuso per l'errore..... __________________ maipiugromozon.blogspot.com

31-01-2008, 20:23	#3
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	quindi non è polimorfico ma vi sono moltissime varianti? __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

31-01-2008, 20:42	#5
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	ok grz __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

01-02-2008, 01:54	#6
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	Una definizione carina e corretta sarebbe 'manual polymorphism', cioè una sorta di polimorfismo manuale, indotto grazie ad un packer che permette una rapida ricompressione - tutto server side. Il dialer utilizza un driver 'CommDrv.sys'. I numeri utilizzati sono: 899161323 (Operatore: Voiceplus) 00881939100516 (Operatore: GMSS) 1784402345 (Operatore: Eutelia) Che la mano sia russa o comunque est asiatica non penso vi siano grossissimi dubbi: Così come non fanno neanche lavorare troppo sull'identificazione del tipo di malware, visto che lo lasciano scritto direttamente loro nel codice: Codice: D:\Business\ADWARE\Dialer\CommDriver\ Il resto del codice, a parte il packer e qualche altra caratteristica, non è di grandissimo interesse. __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: Ultima modifica di eraser : 01-02-2008 alle 02:22.

Strumenti
Mostra una versione stampabile Invia questa pagina per email