[NEWS] Un malware scarsamente riconosciuto

Edgar Bangkok · 21-09-2008, 06:14

domenica 21 settembre 2008

N.B. si tratta di pagine con collegamenti a malware attivo Usate quindi le dovute precauzioni se visitate questi siti.

Ecco un interessante link presente su uno dei tanti forum .IT utilizzati per distribuire links a pagine pericolose.
(img sul blog)
che presenta nel link, per aumentare le probabilita' che venga cliccato, il nome di un reale sito francese che distribusce contenuti porno e links a siti con contenuti simili:
(img sul blog)
Come sempre l'aggiornamento in tempo reale del post sul forum permette di esaminare le ultime novita' in fatto di files con contenuto malware.
(img sul blog)
La pagina caricata simula ancora una volta un falso player video
(img sul blog)
che in automatico o cliccando sul falso lettore multimediale propone il download di un file eseguibile.

Da notare che a distanza di un giorno e' cambiato l'indirizzo del sito da dove viene scaricato il file anche se simile come url
(img sul blog)
Il file exe ad una prima analisi il giorno 19 risultava completamente privo di avvisi di presenza malware presentandosi come file non pericoloso.
(img sul blog)
Chiaramente questo era in contrasto da tutti gli altri indizi (links al sito con testo di genere porno, pagina con falso player video , sistema adottato per proporre lo scaricamento del file in automatico ecc...) che facevano sospettare il file come appartenente ai consueti malware distribuiti come codecs video o falsi setup di player.

Analizzato successivamente il 20 settembre il file presentava , finalmente, una seppur minima indicazione di contenuti malware:
(img sul blog)
A questo punto si e' provato ad analizzare il file con altri servizi di scansione AV online
Da notare i differenti report da parte dei vari siti online di scansione
Jotti ad esempio proponeva solo il NOD32 che identificava il file come malware
(img sul blog)
mentre , come altre volte gia successo, VirScan dava una riposta completamente diversa, al riguardo del nome di antivirus che rileva la minaccia
(img sul blog)
Chiaramente, per tutti i report si e' verificato che l'MD5 fosse identico.(la data e l'ora indicate nei vari reports invece differiscono tra loro ma in ogni caso i files sono stai inviati ai siti di scansione online tutti allo stesso momento)

Per quanto si riferisce invece ai vari siti che propongono una analisi del file malevolo eseguendolo in SandBox nessuno dei piu' noti e' riuscito ad analizzare il file come vediamo ad esempio dal report di Threat Expert
(img sul blog)
o dal messaggio mal di Norman Sandbox
(img sul blog)
Da notare che il whois della pagina e del server che ospita il malware punta a siti hostati in USA ed inoltre la pagina con falso player presenta, differentemente da altre volte alcuni Java Scripts offuscati, che sembrerebbero pero non attivarsi usando Firefox.

Una terza analisi eseguita dopo qualche ora ha nuovamente mostrato che nessun software AV di quelli presenti nel report VT rileva adesso il contenuto malware del file.

Il giorno 21 una nuova scansione del file eseguibile dimostra che il riconoscimento del pericolo contenuto nel file e sempre praticamente inesistente.
(img sul blog)
Adesso VT mostra che solo Prevx riconosce la minaccia ma ancora una volta differenti siti di scansione AV multipla online danno differenti risultati
Ecco ad esempio con VirScan
(img sul blog)
mentre Jotti da il file come esente da qualsiasi problema

A questo punto una analisi con la SandBox di Anubis (servizio non era disponibile al momento delle prime analisi del file) ha finalmente permesso di avere qualche info in piu' sul contenuto del file eseguibile
Questo il sommario dell'esecuzione del file

e queste le attivita' di rete relative

Si notano alcune connessioni ad un sito che scarica sul pc alcuni files con contenuti sicuramente dannosi mentre il sito e' registrato a nome di

che e' una ulteriore conferma sul genere di files scaricati

Come si vede questo file eseguibile, tra quelli recentemente esaminati, si sta dimostrando uno dei piu' efficienti come capacita di occultamento del codice malevolo rendendo, almeno per il momento molto difficoltoso il riconoscimento del malware, da parte dei piu' conosciuti softwares AV e dimostra come anche a distanza di giorni praticamente non ci sia ancora una risposta efficace da parte dei piu' noti softwares AV in commercio.

Inoltre, e' interessante notare come differenti servizi di scansione online abbiano diverse risposte per il medesimo file e la medesima applicazione antivirus ma in questo caso le cause possono essere molte (differente versione del software AV con differenti aggiornamenti, diverso ambiente di test ed anche differenti parametri di scansione nei confronti del codice esaminato , ecc....)

Edgar

fonte; http://edetools.blogspot.com/

c.m.g · 21-09-2008, 09:17

articolo interessante...

eraser · 21-09-2008, 14:46

Segnalate ogni dominio appartenente ad EstDomains a https://support.estdomains.com/ aprendo un ticket e riportando all'abuse.

Stanno collaborando molto ultimamente, disattivando numerosi domini legati a malware.

Edgar Bangkok · 21-09-2008, 15:56

Quote:

Originariamente inviato da eraser

Segnalate ogni dominio appartenente ad EstDomains a https://support.estdomains.com/ aprendo un ticket e riportando all'abuse.

Stanno collaborando molto ultimamente, disattivando numerosi domini legati a malware.

ma sara' vero ???

o lo faranno solo per mascherare meglio quello che fanno (mi viengono in mente le pagine con il testo 'Account chiuso per motivi di sicurezza"...) messe apposta per dare una parvenza di azione contro links illegali. Non sara' che chiudono un dominio e lo riaprono sotto diverso nome ...

Quote:

domenica 14 settembre 2008
Estdomains: il registro della cybercriminalita' organizzata
Se avete preso un virus o un malware (falsi codec, falsi Antivirus/antispyware, exploit ,ecc. ) negli ultimi 4 anni sappiate che c'è una altissima probabilita' che il dominio del sito da cui avete scaricato la spazzatura sia stato registrato da Estdomains. Per chi legge questo blog o si occupa un minimo di sicurezza è cosa stranota.,,,,,,,,,,
fonte: maipiugromozon BLOG

Sino ad ora, e', sempre stata, una delle fonti piu'sicure per 'beccarsi' un malware...

Comunque, a titolo di curiosita', il tentativo di seguire il link poposto da' questo risultato su Firefox

Edgar

eraser · 21-09-2008, 20:25

Si lo so, sembra stiano cambiando convinzioni

FulValBot · 22-09-2008, 08:48

visto che dice che il certificato è valido solo usando gli opendns volevo chiedere: ma sti opendns possono proteggere da certi malware o no?

**Chill-Out** · 22-09-2008, 09:26

Anche se non recentissimo, interessante aricolo a propostito della questione http://voices.washingtonpost.com/sec..._as_major.html

21-09-2008, 06:14	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Un malware scarsamente riconosciuto domenica 21 settembre 2008 N.B. si tratta di pagine con collegamenti a malware attivo Usate quindi le dovute precauzioni se visitate questi siti. Ecco un interessante link presente su uno dei tanti forum .IT utilizzati per distribuire links a pagine pericolose. (img sul blog) che presenta nel link, per aumentare le probabilita' che venga cliccato, il nome di un reale sito francese che distribusce contenuti porno e links a siti con contenuti simili: (img sul blog) Come sempre l'aggiornamento in tempo reale del post sul forum permette di esaminare le ultime novita' in fatto di files con contenuto malware. (img sul blog) La pagina caricata simula ancora una volta un falso player video (img sul blog) che in automatico o cliccando sul falso lettore multimediale propone il download di un file eseguibile. Da notare che a distanza di un giorno e' cambiato l'indirizzo del sito da dove viene scaricato il file anche se simile come url (img sul blog) Il file exe ad una prima analisi il giorno 19 risultava completamente privo di avvisi di presenza malware presentandosi come file non pericoloso. (img sul blog) Chiaramente questo era in contrasto da tutti gli altri indizi (links al sito con testo di genere porno, pagina con falso player video , sistema adottato per proporre lo scaricamento del file in automatico ecc...) che facevano sospettare il file come appartenente ai consueti malware distribuiti come codecs video o falsi setup di player. Analizzato successivamente il 20 settembre il file presentava , finalmente, una seppur minima indicazione di contenuti malware: (img sul blog) A questo punto si e' provato ad analizzare il file con altri servizi di scansione AV online Da notare i differenti report da parte dei vari siti online di scansione Jotti ad esempio proponeva solo il NOD32 che identificava il file come malware (img sul blog) mentre , come altre volte gia successo, VirScan dava una riposta completamente diversa, al riguardo del nome di antivirus che rileva la minaccia (img sul blog) Chiaramente, per tutti i report si e' verificato che l'MD5 fosse identico.(la data e l'ora indicate nei vari reports invece differiscono tra loro ma in ogni caso i files sono stai inviati ai siti di scansione online tutti allo stesso momento) Per quanto si riferisce invece ai vari siti che propongono una analisi del file malevolo eseguendolo in SandBox nessuno dei piu' noti e' riuscito ad analizzare il file come vediamo ad esempio dal report di Threat Expert (img sul blog) o dal messaggio mal di Norman Sandbox (img sul blog) Da notare che il whois della pagina e del server che ospita il malware punta a siti hostati in USA ed inoltre la pagina con falso player presenta, differentemente da altre volte alcuni Java Scripts offuscati, che sembrerebbero pero non attivarsi usando Firefox. Una terza analisi eseguita dopo qualche ora ha nuovamente mostrato che nessun software AV di quelli presenti nel report VT rileva adesso il contenuto malware del file. Il giorno 21 una nuova scansione del file eseguibile dimostra che il riconoscimento del pericolo contenuto nel file e sempre praticamente inesistente. (img sul blog) Adesso VT mostra che solo Prevx riconosce la minaccia ma ancora una volta differenti siti di scansione AV multipla online danno differenti risultati Ecco ad esempio con VirScan (img sul blog) mentre Jotti da il file come esente da qualsiasi problema A questo punto una analisi con la SandBox di Anubis (servizio non era disponibile al momento delle prime analisi del file) ha finalmente permesso di avere qualche info in piu' sul contenuto del file eseguibile Questo il sommario dell'esecuzione del file e queste le attivita' di rete relative Si notano alcune connessioni ad un sito che scarica sul pc alcuni files con contenuti sicuramente dannosi mentre il sito e' registrato a nome di che e' una ulteriore conferma sul genere di files scaricati Come si vede questo file eseguibile, tra quelli recentemente esaminati, si sta dimostrando uno dei piu' efficienti come capacita di occultamento del codice malevolo rendendo, almeno per il momento molto difficoltoso il riconoscimento del malware, da parte dei piu' conosciuti softwares AV e dimostra come anche a distanza di giorni praticamente non ci sia ancora una risposta efficace da parte dei piu' noti softwares AV in commercio. Inoltre, e' interessante notare come differenti servizi di scansione online abbiano diverse risposte per il medesimo file e la medesima applicazione antivirus ma in questo caso le cause possono essere molte (differente versione del software AV con differenti aggiornamenti, diverso ambiente di test ed anche differenti parametri di scansione nei confronti del codice esaminato , ecc....) Edgar fonte; http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/

21-09-2008, 09:17	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	articolo interessante... __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

21-09-2008, 14:46	#3
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	Segnalate ogni dominio appartenente ad EstDomains a https://support.estdomains.com/ aprendo un ticket e riportando all'abuse. Stanno collaborando molto ultimamente, disattivando numerosi domini legati a malware. __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

21-09-2008, 20:25	#5
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	Si lo so, sembra stiano cambiando convinzioni __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

22-09-2008, 09:26	#7
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Anche se non recentissimo, interessante aricolo a propostito della questione http://voices.washingtonpost.com/sec..._as_major.html __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

22-09-2008, 08:48	#6
FulValBot Senior Member Iscritto dal: Oct 2007 Città: Roma Messaggi: 9804	visto che dice che il certificato è valido solo usando gli opendns volevo chiedere: ma sti opendns possono proteggere da certi malware o no?

Strumenti
Mostra una versione stampabile Invia questa pagina per email