[NEWS] Nuove pagine su nuovi domini StormWorm

[Edgar Bangkok]

30 giugno 2008

Apparsi in rete nuovi domini collegati alla botnet StormWorm.
Il tentativo di far scaricare il malware avviene sempre attraverso mails di spam che questa volta presentano un link ai nuovi domini StormWorm di cui vediamo un parziale elenco:

makinglovedirect(dot)com (usato per il test)
theloveparade(dot)com
latinlovesite(dot)com
lollypopycandy(dot)com
yourloveletter(dot)com
youronlinelove(dot)com

Come si vede i nomi sono del tutto simili a precedenti domini storm che gia' in passato hanno utilizzato il tema 'love' per tentare di far scaricare malware sul pc.

Vediamo in dettaglio come si presenta, ad esempio, la pagina makinglovedirect(dot)com
(img sul blog)
Sono presenti sia un banner animato con link al file eseguibile winner.exe di cui vediamo una analisi con Virus Total
(img sul blog)
che un link diretto al file eseguibile mylove.exe che Virus Total riporta come
(img sul blog)
Esaminando in dettaglio il sorgente della pagina
(img sul blog)
abbiamo la presenza di meta tags con parole chiave che riconducono al soggetto della mail ed inoltre come nella recente pagina storm la presenza di un iframe nascosto con codice offuscato che linka a codice php
(img sul blog)
contenente, come nelle recenti pagine StormWorm, una serie di exploits per colpire alcune vulnerabilita' presenti su diverse applicazioni player video ecc...
(img sul blog)
Il file php sottoposto a VT dimostra che alcuni softwares riescono ad identificare il codice come pericoloso.
(img sul blog)
La tecnica FastFlux sembra essere tornata a TTL (tempo di vita dello specifico IP associato al nome nella cache DNS dopo il quale l'indirizzo IP viene rinnovato) in linea con precedenti pagine StormWorm, a differenza dell'ultima volta in cui il TTL era stato allungato di parecchi minuti.

Per cercare di capire, la collocazione dei computer compromessi che fanno parte della Botnet ecco un report ottenuto con un semplicissimo script Autoit che esegue un whois di makinglovedirect(dot)com ad intervalli di 60 secondi (TTL della pagina che utilizza FastFlux) e che restituisce la presunta collocazione dei pc compromessi facenti parte della botnet.
Come si capisce non si tratta di un metodo basato sulla reale interrogazione del dominio FastFlux come avviene per applicazioni professionali che utilizzano software specifici (honeypot) per catturare il malware ma nella sua semplicita' offre risultati di un certo rilievo senza per questo presentare i rischi connessi ad una interrogazione diretta della Botnet StormWorm.
Come gia' detto in passato lo script sfrutta ciclicamente un metodo indiretto (whois) per localizzare il pc corrispondente all'indirizzo della pagina storm ed anche se non c'e' la certezza che all'ip trovato corrisponda una macchina che distribuisca attualmente malware abbiamo come risultato un report che da' una idea abbastanza reale di come, al momento, sono distribuite nel mondo le macchine infette.
(img sul blog)
I risultati sono, in parte, una sorpresa in quanto, al contrario di precedenti attacchi StormWorm dove circa il 50% dei risultati dello script puntava a pc locati in USA sembrerebbe che ora la maggior parte di macchine infette da questa nuova 'sessione' di StormWorm sia locata in Cina, il che confermerebbe la tendenza del paese asiatico iad essere il primo come quantita' di computers compromessi da malware di questo tipo o forse anche esserne l'attuale sorgente.

Una parziale spiegazione dei risultati dello script potrebbe derivare dal fatto che al momento dell'esecuzione del test , in Cina e' mattino mentre per zone come l'Europa e notte (2 AM) e quindi presumibilmente la quantita' di pc in funzione e' ridotta.

Potra' comunque essere interessante ripetere questo test, se i domini StorWorm resteranno online, per vedere la variazione nel tempo della distribuzione geografica dei pc infetti facenti parte della botnet.

Edgar

fonte: http://edetools.blogspot.com/