a proposito di un sito spara virus estremente pericoloso.
Da quello che ho potuto osservare dovrebbe trattarsi di un virus polimorfico che tenta di installare un dialer.
Il nome del dominio gia' ci fa capire a chi sia destinato il malware.
hxxp://italiancollection.in/[edit...]/info/exe.php?id=xx
Variando i numeri dopo ?id= cambia la codifica del file.
Non sono riuscito a fare analisi con la sanbox di sunbelt e quindi non so se possa essere attribuito alla famiglia dialcall (callsolutions)
La scansione su virustotal da i seguenti risultati:
Quello che ho potuto notare è la difficolta' di kaspersky 7 nel riconoscere tale virus polimorfico.
Non so se il modulo PDM sia in grado di intercettare la minaccia.
Alcuni sample che ho inviato sono stati successivamente individuati dall'antivirus russo come Trojan.Win32.Dialer.XYZ
ma l'efficacia del prodotto è scarsa.
AGGIORNAMENTO:
A quanto sembra il virus anche se estremamente difficile da rilevare in tutte le sue mutazioni
non sarebbe tecnicamente "polimorfico" (analisi di TNT)
Resta comunque una "brutta bestia"
Mi scuso per l'errore.....
AGGIORNAMENTO 2
Analisi di marco di pcalsicuro.com:
"Una definizione carina e corretta sarebbe 'manual polymorphism', cioè una sorta di polimorfismo manuale, indotto grazie ad un packer che permette una rapida ricompressione - tutto server side.
Il dialer utilizza un driver 'CommDrv.sys'. I numeri utilizzati sono:
899161323 (Operatore: Voiceplus)
00881939100516 (Operatore: GMSS)
1784402345 (Operatore: Eutelia)
Che la mano sia russa o comunque est asiatica non penso vi siano grossissimi dubbi:
Così come non fanno neanche lavorare troppo sull'identificazione del tipo di malware, visto che lo lasciano scritto direttamente loro nel codice:Il resto del codice, a parte il packer e qualche altra caratteristica, non è di grandissimo interesse."Codice:D:\Business\ADWARE\Dialer\CommDriver\