Analisi virus - solo due antivirus lo identificano?

[cagnaluia]

Ciao,

è da un paio di giorni che mi arriva una mail di spam.
All'interno un link che mi scarica un file eseguibile per windows, più o meno camuffato.

Né l'antivirus del firewall, né quello di windows (trendmicro) trovano nulla.

Per precauzione ho spedito il file ad un servizio online di scansione... ed in effetti, su una lunga lista di pattern, solo un paio hanno identificato un worm.



possibile?

[xcdegasp]

dubito che sia un vero eseguibile avendo estensione ".doc" ossia documento word quindi le possibilità di infezione sono pari allo 0%
sei sicuro che non sia un file ascii ?

[cagnaluia]

Quote:

Originariamente inviato da xcdegasp

dubito che sia un vero eseguibile avendo estensione ".doc" ossia documento word quindi le possibilità di infezione sono pari allo 0%
sei sicuro che non sia un file ascii ?

...non ha estensione *.doc....

Ed è un eseguibile.
Ho lasciato anche l'immagine e ho scritto che era camuffato.
Ma non è questo il punto. Non mi interessa come si presenta il file.


Il punto è che, solo 2 antivirus su più di 30... hanno trovato traccia di minaccia, riportando nome e cognome del worm.
E' poco, speravo il contrario...

[Eress]

Visto che ti arriva nello spam quasi certamente è robaccia, per cui secondo me quel 5% è più che sufficinete per considerarlo malware.

[cagnaluia]

Quote:

Originariamente inviato da Eress

Visto che ti arriva nello spam quasi certamente è robaccia, per cui secondo me quel 5% è più che sufficinete per considerarlo malware.

ah no.. perdonatemi...

non è arrivato nello spam.. ma io l'ho considerato subito spam, vedendo tanto subdola la richiesta di cliccare per scaricare quel file.

[xcdegasp]

he allora pubblica il copro dell'email e l'header così vediamo come si presentava

[cagnaluia]

certo, questo era il tutto

Quote:

Da: Supportpay [[email protected]] Inviato: sab 15/10/2011 15.57
A: MIO NOME
Cc:
Oggetto: Richiesta N8261734
Allegati:
Visualizza come pagina Web
Buongiorno
La risposta alla vostra richiesta per le forniture al sito 2011/10/14.
hxxp://epworthpool.co.uk/download/Profiel.zip?RZ07NS4KI


Tel./Fax.: +39 (41) 418-66-17

l'header ve lo posto domani, perchè sono sul pannello web e non posso vedere altri dettagli

[xcdegasp]

ora lo identificano in 22: https://www.virustotal.com/file-scan...1c0-1318915735

mentre qui c'è una scansione un po' più dettagliata sulle potenzialità di questo file:
http://www.threatexpert.com/report.a...0ad3525eeef903

[cagnaluia]

l'header:

Quote:

Microsoft Mail Internet Headers Version 2.0
Received: from host123-165-dynamic.10-87-r.retail.telecomitalia.it ([87.10.165.123]) by mail.MIAAZIENDA.com with Microsoft SMTPSVC(6.0.3790.4675);
Sat, 15 Oct 2011 16:42:02 +0200
Received: from smtp.cliffhanger.com.br ([171.19.28.195])
by mmp-4.cliffhanger.com (iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003)) with SMTP id <[email protected]>
for [email protected]; Sat, 15 Oct 2011 15:41:41 +0100
Date: Sat, 15 Oct 2011 14:57:09 +0100
From: "Supportpay" <[email protected]>
X-Mailer: The Bat! (v4.5.04) UNREG
Message-id: <[email protected]>
To: [email protected]
Subject: Richiesta N8261734
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------724BC0C78831A11"
X-WatchGuard-Spam-ID: str=0001.0A090201.4E999BC4.0016,ss=1,fgs=0
X-WatchGuard-Spam-Score: 0, clean; 0, no virus
X-WatchGuard-Mail-Client-IP: 171.19.28.195
X-WatchGuard-Mail-From: [email protected]
Return-Path: [email protected]
X-OriginalArrivalTime: 15 Oct 2011 14:42:03.0570 (UTC) FILETIME=[9AAAE920:01CC8B48]

------------724BC0C78831A11
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
X-WatchGuard-AntiVirus: part scanned. clean action=allow


------------724BC0C78831A11--

[cagnaluia]

Quote:

Originariamente inviato da xcdegasp

ora lo identificano in 22: https://www.virustotal.com/file-scan...1c0-1318915735

mentre qui c'è una scansione un po' più dettagliata sulle potenzialità di questo file:
http://www.threatexpert.com/report.a...0ad3525eeef903

però! impressionante come si sono distribuiti la conoscenza del trojan in poche ore.

[xcdegasp]

vista l'entità di questa email riporta questa documentazione anche in questo thread:
http://www.hwupgrade.it/forum/showthread.php?t=2386831

così può essere utile anche agli altri

[AUTOMAN]

Quote:

Originariamente inviato da cagnaluia

però! impressionante come si sono distribuiti la conoscenza del trojan in poche ore.

E il bello è che i primi a scovarlo sono stati due antivirus abbastanza sconosciuti qui da noi

[cagnaluia]

Quote:

Originariamente inviato da AUTOMAN

E il bello è che i primi a scovarlo sono stati due antivirus abbastanza sconosciuti qui da noi

e.. da quel che ho visto anche su youtube, il primo è proprio PESSIMO.

[AUTOMAN]

Quote:

Originariamente inviato da cagnaluia

e.. da quel che ho visto anche su youtube, il primo è proprio PESSIMO.

Allora è stata una botta di culo oppure l'avevano sviluppato loro a tempo perso

[cagnaluia]

Quote:

Originariamente inviato da AUTOMAN

Allora è stata una botta di culo oppure l'avevano sviluppato loro a tempo perso

la seconda...