[NEWS] Piu' che tempesta, terremoto. Storm Worm, un ritorno al passato

[Edgar Bangkok]

20 giugno 2008

Il nome del malware e della botnet collegata Storm Worm deriva dall'iniziale sistema utilizzato per diffondere il codice pericoloso sfruttando un fatto di cronaca per attirare l'attenzione di chi riceveva l'email contenente l'allegato codice malevolo ed invogliarne l'apertura.
Piu' di un anno fa', infatti, mentre l’Europa era sferzata da violente tempeste (storm) , gli autori del worm avevano deciso di diffondere il proprio malware per mezzo di email con oggetto frasi del tipo “230 dead as storm batters Europe” (230 morti a causa della tempesta che infuria in Europa) con un allegato intitolato FullStory.exe o Video.exe. che si sarebbero dovuti eseguire per vedere il relativo filmato.

Sono invece di queste ore le mails di spam che tentano di far scaricare il malware Storm Worm attraverso la falsa notizia di un nuovo e violentissimo sisma che avrebbe colpito la Cina e Pechino rendendo di fatto anche impossibile disputare i prossimi Giochi Olimpici.
(img sul blog)
Chiaramente si tratta di una falsa notizia che fa leva sulla curiosita' di chi riceve la mail per fargli scaricare un file eseguibile dal nome Beijing.exe che se eseguito traformera' il pc in un computer 'zombie' al servizio della botnet Storm Worm. e che comunque anche nel caso non si cada nel tranello del falso filmato contiene, come vedremo, un mix di exploit ai danni di varie applicazioni.
(img sul blog)
Questo il sorgente della pagina che a prima vista sembrerebbe molto semplice e dove si nota la presenza del link a Beijing .exe
(img sul blog)
In realta' non e' assolutamente cosi' dato che esiste anche un iframe nascosto con link a codice php, dai contenuti offuscati.
(img sul blog)
e che deoffuscato ci mostra ad esempio la presenza di codice che tenta di sfruttare una recente vulnerabilita' di Real Player
(img sul blog)
Queste le funzioni contenute nel codice deoffuscato che si spiegano da sole gia' dal nome
(img sul blog)
Numerosi sono i domini interessati alla distribuzione malware, in parte online in parte non attvi che sconsiglio di vistare vista la loro pericolosita' se non si sono prese le dovute precauzioni

biztech-co(dot)cn
fconnorlaw(dot)cn
ratedhot(dot)cn
pacoast(dot)cn
cadeaux-avenue(dot)cn
tellicolakerealty(dot)cn
activeware(dot)cn
grupogaleria(dot)cn
polkerdesign(dot)cn

e che utilizzano fastflux anche se il ttl sembra impostato su tempi abbastanza alti
(img sul blog)

mentre il ttl dei vecchi domini fastflux Storm Worm era di qualche minuto.

Una volta tanto sembra che , almeno per ora, il malware contenuto in beijing.exe, venga riconosciuto da un buon numero di antivirus.
(img sul blog)

Si tratta quindi di una nuovo filone di mails di spam pericolose collegate a pagine che sfruttando un tecnica di “social engineering” gia' utilizzata in passato cercano di rivitalizzare la botnet Storm Worm che ultimamente sembra aver perso molto della sua diffusione a scapito di altre botnet quali ad esempio la Asprox collegata alle migliaia di attacchi di sql injection di questi giorni,

Di solito in contemporanea ad eventi importanti, notizie di cronaca a diffusione mondiale o di festivita' abbiamo assistito ad un proliferare di mails di spam e siti collegati costruiti solo con lo scopo di diffondere malware e l'occasione delle Olimpiadi 2008 di Pechino, come si vede, e' gia' utilizzata per questi scopi e probabilmente lo sara' ancora in futuro.

Edgar

fonte:
http://edetools.blogspot.com/