a proposito di un sito spara virus estremente pericoloso.
Da quello che ho potuto osservare dovrebbe trattarsi di un virus polimorfico che tenta di installare un dialer.
Il nome del dominio gia' ci fa capire a chi sia destinato il malware.
hxxp://italiancollection.in/[edit...]/info/exe.php?id=xx
Variando i numeri dopo ?id= cambia la codifica del file.
Non sono riuscito a fare analisi con la sanbox di sunbelt e quindi non so se possa essere attribuito alla famiglia dialcall (callsolutions)
La scansione su virustotal da i seguenti risultati:
Quello che ho potuto notare è la difficolta' di kaspersky 7 nel riconoscere tale virus polimorfico.
Non so se il modulo PDM sia in grado di intercettare la minaccia.
Alcuni sample che ho inviato sono stati successivamente individuati dall'antivirus russo come Trojan.Win32.Dialer.XYZ
ma l'efficacia del prodotto è scarsa.
AGGIORNAMENTO:
A quanto sembra il virus anche se estremamente difficile da rilevare in tutte le sue mutazioni
non sarebbe tecnicamente "polimorfico" (analisi di TNT)
Resta comunque una "brutta bestia"
Mi scuso per l'errore.....
AGGIORNAMENTO 2
Analisi di marco di pcalsicuro.com:
"Una definizione carina e corretta sarebbe 'manual polymorphism', cioè una sorta di polimorfismo manuale, indotto grazie ad un packer che permette una rapida ricompressione - tutto server side.
Il dialer utilizza un driver 'CommDrv.sys'. I numeri utilizzati sono:
899161323 (Operatore: Voiceplus)
00881939100516 (Operatore: GMSS)
1784402345 (Operatore: Eutelia)
Che la mano sia russa o comunque est asiatica non penso vi siano grossissimi dubbi:
Così come non fanno neanche lavorare troppo sull'identificazione del tipo di malware, visto che lo lasciano scritto direttamente loro nel codice:Il resto del codice, a parte il packer e qualche altra caratteristica, non è di grandissimo interesse."Codice:D:\Business\ADWARE\Dialer\CommDriver\
3 commenti:
Li avevamo visti da una decina di giorni. La difficolta' nella rilevazione non sta tanto nel "polimorfismo" (tecnicamente non sono polimorfici) quanto nel fatto che vengono spesso cambiati e usano un runtime packer che quasi nessun AV e' in grado di aprire.
Comunque c'erano da qualche tempo prima che fosse chiuso Callsolutions (cio' non significa comunque che non possano essere gli stessi...)
Beh direi che quando si tratta di dialer tutto sommato non dovrebbe essere difficile risalire all'identita' di chi ha messo su il tutto. Per quanto riguarda l'analisi tecnica sono stato impreciso con il termine "polimorfico" ma sono stato anche tratto in inganno dalla rilevazione di alcuni antivirus e dal fatto che lo script restituiva sempre "una mutazione" cambiando dei parametri.
Sorry :-(
Beh poi vabbe' il termine "polimorfico" generalmente in campo malware viene usato per indicare un tipo di virus un po' diverso da questi dialer qui, ma il termine "polimorfico" in assoluto non e' completamente errato in quanto in effetti e' sempre lo stesso malware che viene ricreato e compresso con un runtime packer in modo da evadere le firme... :)
Poi vabbe'... le firme degli antivirus sono quelle che sono. Pandex.AA ad esempio e' completamente errata. ;)
Posta un commento