[NEWS] 'Reuters-Thailand: Terror attack in Bangkok' su Waledac botnet

Edgar Bangkok · 16-03-2009, 05:04

lunedì 16 marzo 2009

Ricordo come sempre che gli indirizzi web elencati nel post sono attivi e linkano a file malware poco riconosciuto. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file eseguibile.

Un nuovo tema e' da oggi 'disponibile' sulle pagine di Waledac botnet che ci propongono una falsa pagina di news da parte della nota agenzia Reuters

Come vediamo, utilizzando la geo localizzazione dell'indrizzo IP il testo del messaggio si adatta al paese di provenienza del visitatore. (in questo caso Bangkok (da dove scrivo) come luogo del falso attentato).

Esaminiamo in dettaglio il sorgente della pagina:

Come si vede questa volta abbiamo piu' links rispetto alle precedenti pagine Waledac con l'intento di sfruttare meglio la curiosita' di che visitasse la pagina ed ingannarlo meglio sulla autenticita' della notizia.

Sono infatti anche presenti due links (in giallo sullo screenshot del source ) , senza collegamenti a malware, che puntano rispettivamente ad una ricerca Google
(img sul blog)
che propone collegamenti a fatti riferiti in modo specifico alla localita' citata sulla pagina Waledac ed inoltre un link a Wikipedia
(img sul blog)
che propone una spiegazione sul tipo di 'attacco' messo in atto.

Naturalmente sia cliccando sull'immagine del falso player che sul link ad un ipotetico install flash viene scaricato il file eseguibile malware che, anche questa volta muta, continuamente, in tempi brevi, sia come nome che come dimensione del file e codice,

modificando cosi' anche la risposta del riconoscimento malware

A breve intervallo di tempo infatti avevamo con VT
(img sul blog)
ed anche

Sulla pagina e' sempre presente anche l'Iframe (in verde sullo screenshot del source ) che punta ad altra pagina che al momento sembrerebbe solo attiva forse per tracciare meglio chi visitasse il sito Waledac ma non escludendo la eventuale possibilita' che ad essa possano venire associati exploit di vario genere.

Edgar

fonte : http://edetools.blogspot.com/2009/03...attack-in.html

Edgar Bangkok · 21-03-2009, 08:20

Sempre basso il riconoscimento dei files eseguibili linkati da Waledac Botnet,

Ricordo che si tratta di pagine, online da qualche giorno, con un nuovo 'tema' Waledac.

Un report sulla distribuzione di provenienza degli IP di macchine compromesse facenti parte della botnet evidenzia in massima parte computers locati in USA

Edgar

fonte: http://edetools.blogspot.com/2009/03...-21-marzo.html

c.m.g · 21-03-2009, 14:55

ahimè antivir latita

Edgar Bangkok · 21-03-2009, 16:45

Quote:

Originariamente inviato da c.m.g

ahimè antivir latita

Sarebbe interessante conoscere che corrispondenza esiste tra una analisi Virus Total e un reale utilizzo di un software AV installato sul pc.
In altre parole, come si dice da piu' parti, fino a che punto una report di analisi VT sia 'affidabile' nell'indicare se un prodotto Av e' efficace o no nel trovare la minaccia.
In effetti ci sono sempre differenze tra una scansione di file online e un utilizzo di Av installato sul computer che viene in contatto con l'eseguibile malware.
Cosi ad esempio se su un pc su cui e' installato Antivir , venisse eseguito il file Waledac, ci sarebbe qualche segnalazione di pericolo oppure .....

Edgar.

sampei.nihira · 21-03-2009, 17:01

Quote:

Originariamente inviato da Edgar Bangkok

Sarebbe interessante conoscere che corrispondenza esiste tra una analisi Virus Total e un reale utilizzo di un software AV installato sul pc.
In altre parole, come si dice da piu' parti, fino a che punto una report di analisi VT sia 'affidabile' nell'indicare se un prodotto Av e' efficace o no nel trovare la minaccia.
In effetti ci sono sempre differenze tra una scansione di file online e un utilizzo di Av installato sul computer che viene in contatto con l'eseguibile malware.
Cosi ad esempio se su un pc su cui e' installato Antivir , venisse eseguito il file Waledac, ci sarebbe qualche segnalazione di pericolo oppure .....

Edgar.

Miseriaccia io adesso proprio non posso farla.....altrimenti la farei.
Dai ragazzi provate almeno Prevx EDGE !!!
Solitamente dalle prove che ho fatto in passato (proprio in merito a WALEDAC) se AVIRA on line non riconosce la minaccia nemmeno quello installato ce la fà.

P.S. Ed invece mi correggo AVIRA interviene prontamente:

Ed interviene anche PREVX EDGE ma solo al lancio dell'eseguibile salvato nel mio desk:

16-03-2009, 05:04	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] 'Reuters-Thailand: Terror attack in Bangkok' su Waledac botnet lunedì 16 marzo 2009 Ricordo come sempre che gli indirizzi web elencati nel post sono attivi e linkano a file malware poco riconosciuto. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file eseguibile. Un nuovo tema e' da oggi 'disponibile' sulle pagine di Waledac botnet che ci propongono una falsa pagina di news da parte della nota agenzia Reuters Come vediamo, utilizzando la geo localizzazione dell'indrizzo IP il testo del messaggio si adatta al paese di provenienza del visitatore. (in questo caso Bangkok (da dove scrivo) come luogo del falso attentato). Esaminiamo in dettaglio il sorgente della pagina: Come si vede questa volta abbiamo piu' links rispetto alle precedenti pagine Waledac con l'intento di sfruttare meglio la curiosita' di che visitasse la pagina ed ingannarlo meglio sulla autenticita' della notizia. Sono infatti anche presenti due links (in giallo sullo screenshot del source ) , senza collegamenti a malware, che puntano rispettivamente ad una ricerca Google (img sul blog) che propone collegamenti a fatti riferiti in modo specifico alla localita' citata sulla pagina Waledac ed inoltre un link a Wikipedia (img sul blog) che propone una spiegazione sul tipo di 'attacco' messo in atto. Naturalmente sia cliccando sull'immagine del falso player che sul link ad un ipotetico install flash viene scaricato il file eseguibile malware che, anche questa volta muta, continuamente, in tempi brevi, sia come nome che come dimensione del file e codice, modificando cosi' anche la risposta del riconoscimento malware A breve intervallo di tempo infatti avevamo con VT (img sul blog) ed anche Sulla pagina e' sempre presente anche l'Iframe (in verde sullo screenshot del source ) che punta ad altra pagina che al momento sembrerebbe solo attiva forse per tracciare meglio chi visitasse il sito Waledac ma non escludendo la eventuale possibilita' che ad essa possano venire associati exploit di vario genere. *Edgar* fonte : http://edetools.blogspot.com/2009/03...attack-in.html __________________ http://edetools.blogspot.com/

21-03-2009, 08:20	#2
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Aggiornamento Waledac Botnet 21 marzo Sempre basso il riconoscimento dei files eseguibili linkati da Waledac Botnet, Ricordo che si tratta di pagine, online da qualche giorno, con un nuovo 'tema' Waledac. Un report sulla distribuzione di provenienza degli IP di macchine compromesse facenti parte della botnet evidenzia in massima parte computers locati in USA Edgar fonte: http://edetools.blogspot.com/2009/03...-21-marzo.html __________________ http://edetools.blogspot.com/

21-03-2009, 14:55	#3
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	ahimè antivir latita __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email