[NEWS] Malware assortito

[Edgar Bangkok]

23 luglio 2008

Esaminando un IP appartenente a
(img sul blog)
si nota la presenza di un gruppo di siti tutti sicuramente pericolosi
(img sul blog)
Esaminiamone in dettaglio alcuni:

I due siti presenti che propongono video porno (il nome di quello relativo a video 'italiani' e' molto simile ad uno precedente gia' visto) mostrano il solito falso player con la richiesta di caricare l'activex necessario per visualizzare il filmato.
(img sul blog)
Da notare come si utilizzi un ingegnoso sistema per variare il nome del falso codec da scaricare a seconda del sito (italian o australian....)
Basta infatti sostituire il valore numerico nella url con qualunque valore per ottenere una differente 'versione' del malware.
(img sul blog)
In realta' si tratta sempre dello stesso file eseguibile ridenominato in automatico a seconda dei valori presenti nella url del link.

Un whois del server che ospita il file pericoloso punta a :

Un'altra pagina interessante e' quella relativa a falsi 'crack' per le piu' diverse applicazioni.
(img sul blog)
In questo caso il malware viene distribuito come file eseguibile che dovrebbe contenere la lista dei codici utili per eseguire software protetto.
Il file eseguibile e' in realta un malware del genere Zlob scarsamente riconosciuto dai software AV (tra gli altri anche Kaspersky che normalmente e' sempre aggiornato nel riconoscere nuovi malware questa volta non rileva il pericolo)
(img sul blog)
Sempre sullo stesso IP abbiamo alcune applicazioni antivirus fasulle che pero' al momento, sembra non abbiano link attivi ai relativi files scaricabili.

Edgar

fonte: http://edetools.blogspot.com/