[NEWS] Il nuovo 'tema' Waledac e' arrivato

[Edgar Bangkok]

venerdì 3 luglio 2009

Come previsto e dopo una lunga pausa, e' 'disponibile' da poche ore il nuovo 'tema' Waledac botnet.

Ecco la nuova pagina Waledac che appare su alcuni siti che linkano alla botnet



Come si puo vedere si tratta di un falso filmato Youtube che dovrebbe riguardare un grande spettacolo pirotecnico creato appositamente per la ricorrenza del 4 luglio , giorno dell'indipendenza USA.
Questo il semplice source della pagina, che non presenta codici compelssi ma solo un link a file eseguibile.
(img sul blog)
Nel testo si invita a cliccare sul file eseguibile, scaricato cliccando sul falso player video, per poter cosi' visualizzare il filmato del 'fantastico show pirotecnico' .

Il file EXE prende differenti nomi per successivi download ( run.exe, install.exe ecc....) e muta spesso il codice per renderne piu' difficile il riconoscimento da parte dei softwares AV.
Una analisi VT, come sempre succede in special modo all'inizio di ogni campagna Waledac, mostra un basso riconoscimento del malware.
(report VT sul blog)
Al momento anche se i siti Waledac presentano il layout del falso Youtube sembra che l'invio dello spam collegato a queste pagine non sia ancora iniziato.

Anche questa volta il nuovo malware Waledac, visto il genere di notizia trattata, sembra destinato a colpire in preferenza utenti internet Usa e meno quelli di altre nazioni, Italia compresa.

Edgar

fonte: http://edetools.blogspot.com/2009/07...-arrivato.html

[Edgar Bangkok]

Attenzione !!!!!
Trattandosi di malware poco riconosciuto e che se installato sul PC lo trasformerebbe in 'zombie' al servizio della botnet prendete tutte le precauzioni del caso se volete visitare le pagine che lo distribuiscono ed analizzarne l'eseguibile.

Dopo qualche ora dalla sua comparsa, ecco online i nuovi siti con nomi piu' consoni al nuovo tema del '4 luglio' ovvero l'Indipendence Day USA
(lista siti Waledac sul BLOG)
che distribuiscono la pagina con allegato worm Waledac.
(img sul blog)
Come si vede anche l'eseguibile presenta adesso nomi piu' attinenti al nuovo tema e rimane al momento sempre poco riconosciuto da una scansione VT,
(img sul blog)
sempre ricordando tutti i limiti di una scansione on-line - on-demand.

Questo invece un report ottenuto con uno script Autoit su uno dei nuovi domini Waledac.
(report sul blog)
In pratica viene eseguito ciclicamente un whois su uno dei nomi di dominio Waledac e contato il numero di IP unici che vengono restituiti come appartenenti alla pagina Waledac in fase di test.
Anche se si tratta chiaramente di una procedura che non tiene conto dell'effettiva presenza dell'eseguibile sulla pagina all'IP indicato dal whois il test , verificato ormai da tempo, sembra confermare i dati, ottenuti con mezzi ben piu' sofisticati.
Inoltre c'e' da ricordare che mentre ad esempio il conteggio degli IP coinvolti , sui tracker online, somma il totale degli IP a partire da qualche mese, i valori ottenuti con questo script rispecchiano la distribuzione ATTUALE delle macchine coinvolte.

Il risultato ottenuto, mostra che al momento le macchine che hostano le pagine con il nuovo malware sono come sempre in prevalenza locate in Usa, ma come gia accaduto in passato la Korea e' una delle nazioni con un notevole numero di pc compromessi online ora.

Anche questa volta la Cina, che dal punto di vista delle macchine installate e dei problemi malware ricorrenti dovrebbe essere ai primi posti, non e' presente se non con la localita' di Hong Kong, fatto gia accaduto in passato per altre distribuzioni Waledac. (sembrerebbe che gli IP cinesi siano esclusi dalla botnet o filtrati in qualche maniera)

Edgar

fonte: http://edetools.blogspot.com/2009/07...-4-luglio.html

[xcdegasp]

scansione di oggi alle 11:22
File run.exe ricevuto il 2009.07.04 09:26:59 (UTC)
Risultato: 11/41 (26.83%)
http://www.virustotal.com/it/analisi...619-1246699619


scansione di stanotte alle 00:29
File run.exe ricevuto il 2009.07.03 22:29:21 (UTC)
Risultato: 6/41 (14.63%)
http://www.virustotal.com/it/analisi...619-1246660161

http://www.virscan.org/report/3c587e...a1f152820.html

http://www.threatexpert.com/report.a...b73fd5956338b5

[xcdegasp]

scansione fatta alla 11:52 di oggi su movie.exe
Risultato: 6/41 (14.64%)
http://www.virustotal.com/it/analisi...bf9-1246701143

http://www.virscan.org/report/e55cf9...c0bc4a318.html



scansione fatta alle 11:52 di oggi su video.exe
Risultato: 7/40 (17.50%)
http://www.virustotal.com/it/analisi...aba-1246701217

http://www.virscan.org/report/0f64cc...16fea76ef.html

[Edgar Bangkok]

Aggiornamento Waledac botnet 5 luglio 09

Attenzione !!!!! Trattandosi di malware poco riconosciuto e che se installato sul PC lo trasformerebbe in 'zombie' al servizio della botnet prendete tutte le precauzioni del caso se volete visitare le pagine che lo distribuiscono ed analizzarne l'eseguibile.

Ecco una aggiornata lista di nomi di dominio Waledac
(lista sul blog)
usati per la pagina del falso filmato Youtube relativo all'Indipendence Day del 4 luglio.
Al momento il file exe allegato (con nome variabile) e' sempre poco riconosciuto da una scansione VT.
(report sul blog)

Edgar

fonte: http://edetools.blogspot.com/2009/07...-5-luglio.html

[hexaae]

OneCare lo becca sempre...
Ci sarà da fidarsi delle comparative sugli AV dove certi prodotti ottengono sempre basse quotazioni ma poi funzionano meglio di alcuni AV blasonati?

[Edgar Bangkok]

Sicuramente trovare delle tabelle comparative di software Av attendibili non credo si facile visto l'enorme numero di malware circolante in rete.
Per quanto si riferisce a Virus Total , Virscan ed altri scanner online poi ci sono dei limiti sui risultati ottenuti visto che si tratta di scansioni on-demand on-line che potrebbero non usare tutte possibilita' offerte dai moderni software av quando sono eseguiti sul pc dove risiede il file pericoloso, (ad esempio una scansione di tipo euristico, ecc...).
Ci sono poi altre variabili che possono influenzare un risultato di uno scanner online quali l'ambiente di test utilizzato (sistema operativo, opzioni del software AV attivate o non attivate, analisi piu' o meno approfondita del file)
Credo che l'uso di Virus Total sia comunque particolarmente utile quando serve una indicazione di massima sulla natura di un file sconosciuto e si hanno dei dubbi sul suo contenuto malevolo.
In altre parole se ho un file ignoto che ad una analisi VT uno o piu' dei 40 software Av in elenco mostrano il file contenere malware questo sara' molto importante per classificarlo come pericoloso e necessario poi di ulteriori verifiche.

Se non ricordo male, in qualche anno di test fatti su files dubbi scaricati dalla rete sono veramente pochi i casi a me' capitati in cui a fronte di un file malware, una scansione Virus Total indicasse il file come 'pulito' e privo di problemi.
In pratica e ben difficile che su 40 software in elenco nessuno di questi riesca ad indicare il problema,magari anche come solo caso sospetto.

Edgar

[hexaae]

Sicuramente...
La mia constatazione un po' scherzosa era comunque che in questo caso nomi famosi come Antivir, Kaspersky, Avast etc. falliscono ma AV come OneCare, non proprio in cima alle classifiche si mostra in questo caso più affidabile. Strani casi della vita...

Pare che il virus in questione sia causato da una botnet hosted su domini cinesi che benché allarmati dalle autorità non hanno intenzione di chiuderli...

[FulValBot]

antivir non lo trova??? o.O


non si potrebbe fare qualcosa


inoltre qua antivir me delude per troppe infezioni che secondo lui non esistono... spesso me ritrovo strani file che magari vengono visti da windows defender ma non da antivir... perfino hijackthis li riesce a vedere.

no non ci siamo eh... antivir me delude... (non metterò mai ne avast ne avg xkè oltre ad avere lo stesso problema sarebbe anche peggio...)

[Marco P.]

Quote:

Originariamente inviato da hexaae

Sicuramente...
La mia constatazione un po' scherzosa era comunque che in questo caso nomi famosi come Antivir, Kaspersky, Avast etc. falliscono ma AV come OneCare, non proprio in cima alle classifiche si mostra in questo caso più affidabile. Strani casi della vita...

Pare che il virus in questione sia causato da una botnet hosted su domini cinesi che benché allarmati dalle autorità non hanno intenzione di chiuderli...

Vorrei sottolineare però che la versione di kaspersky utilizzata da Virustotal, la 7.0.0.125(Kaspersky 2008), è ormai obsoleta dato che ormai siamo alla versione 9.0.0.459 che corrisponde a Kaspersky 2010....questo discorso naturalmente vale anche per tutti gli altri AV incluso Antivir quindi occhio alle versioni utilizzate
Ciao

[c.m.g]

Conficker, ma quanto mi costi? su punto informatico

[hexaae]

Ho inviato un sample ad Avira e mi è arrivata in email una corretta detection come MALWARE... In teoria ora dovrebbe essere in grado di riconoscerlo. Non so però se tutte le varianti. Chi ha Avira Antivir può provare con account con diritti limitati (la combo migliore è Vista/Win7 con UAC attivo e IE7/8 + modalità protetta attivata) a scaricare qualche variante e verificare....

[xcdegasp]

Quote:

Originariamente inviato da hexaae

Ho inviato un sample ad Avira e mi è arrivata in email una corretta detection come MALWARE... In teoria ora dovrebbe essere in grado di riconoscerlo. Non so però se tutte le varianti. Chi ha Avira Antivir può provare con account con diritti limitati (la combo migliore è Vista/Win7 con UAC attivo e IE7/8 + modalità protetta attivata) a scaricare qualche variante e verificare....

che file hai inviato ai loro laboratori?

[hexaae]

Quote:

Originariamente inviato da xcdegasp

che file hai inviato ai loro laboratori?

Un "fireworks.exe" scaricato da uno dei link mostrati nella pic sul sito di Edgar

[xcdegasp]

io con me ho solo il sample "run.exe" che non ha avuto ancora risposta dai laboratori e non è ancora identificato da antivir 9 , nemmeno superantispyware lo riconosce

[hexaae]

Dear Sir or Madam,

Thank you for your email to Avira's virus lab.
Tracking number: INC00334140.



A listing of files alongside their results can be found below:

File ID Filename Size (Byte) Result
25389867 run_waldec.exe 616 KB MALWARE


Please find a detailed report concerning each individual sample below:

Filename Result
run_waldec.exe MALWARE

The file 'run_waldec.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Waledac.CW.3. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.01.04.181.

[Edgar Bangkok]

Dopo qualche giorno dalla comparsa in rete del nuovo tema del '4 luglio' ovvero l'Indipendence Day USA l'eseguibile distribuito da Waledac botnet e' sempre poco riconosciuto dai piu' usati software AV



ricordando sempre i limiti di una scansione on-line - on-demand come succede utilizzando Virus Total.

Come e' gia' accaduto con le precedenti ,'distribuzioni' del codice pericoloso le continue variazioni del malware ne rendono difficoltoso il riconoscimento e nelle ultime ore siamo passati a 12 software nel report VT che indicano il pericolo.

Come sempre e' possibile che altri software AV in elenco VT, che utilizzano differenti tecniche di riconoscimento del codice virale che non sia solo la firma digitale del virus, possano evidenziare la minaccia, quando in fuzione sul pc.

Per quanto si riferisce al layout ed al codice della pagina Waledac del falso filmato , al momento non ci sono variazioni , ma ricordo che, in passato, abbiamo gia' assistito a modifiche dei contenuti (inserimento di links, scripts ecc) anche dopo alcuni giorni che era attiva la distribuzione del malware.

Edgar

fonte: http://edetools.blogspot.com/2009/07...-7-luglio.html

[xcdegasp]

i 3 esemplari che possiedo antivir non li riconosce ancora:

run.exe -> File size: 630784 bytes
http://www.virustotal.com/it/analisi...619-1246948646


movie.exe -> File size: 630784 bytes
http://www.virustotal.com/it/analisi...bf9-1246948692


video.exe -> File size: 630272 bytes
http://www.virustotal.com/it/analisi...aba-1246948751

[xcdegasp]

alle 15:00 di oggi mi ha risposto Avira

Quote:

Dear Sir or Madam,


Thank you for your recent inquiry.

We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the virus will be detected as Worm/Waledac.CW.1.

We thank you for your assistance.

[Edgar Bangkok]

giovedì 9 luglio 2009


Una analisi VT eseguita questa mattina (ora Thai) presenta, per quanto si riferisce al file eseguibile distribuito dalle pagine Waledac, questo risultato:
(img report VT sul blog)
Rispetto ai 9 programmi AV di ieri siamo adesso a 11 programmi il che' evidenzia un numero complessivo di positivi abbastanza basso, quasi ad indicare uno scarso interesse dei produttori di software Av a questo genere di malware.

E' probabile che, continuando con questi bassi numeri di riconoscimento del file, la diffusione del worm cessi in maniera spontanea per l'ennesima modifica alla botnet da parte di chi la 'gestisce' prima che sia online piu' software AV in grado di riconoscere il file pericoloso.

Edgar

fonte: http://edetools.blogspot.com/2009/07...nalisi_09.html