mercoledì 30 gennaio 2008

Un virus "polimorfico" (con dialer) per navigatori italiani

Qualche giorno fa a proposito della chiusura dell'infame sito Callsolutions ho ricevuto una interessantissima segnalazione da Gmg (un utente molto preparato di hwupgrade)
a proposito di un sito spara virus estremente pericoloso.
Da quello che ho potuto osservare dovrebbe trattarsi di un virus polimorfico che tenta di installare un dialer.

Il nome del dominio gia' ci fa capire a chi sia destinato il malware.

hxxp://italiancollection.in/[edit...]/info/exe.php?id=xx

Variando i numeri dopo ?id= cambia la codifica del file.

Non sono riuscito a fare analisi con la sanbox di sunbelt e quindi non so se possa essere attribuito alla famiglia dialcall (callsolutions)

La scansione su virustotal da i seguenti risultati:



Quello che ho potuto notare è la difficolta' di kaspersky 7 nel riconoscere tale virus polimorfico.
Non so se il modulo PDM sia in grado di intercettare la minaccia.

Alcuni sample che ho inviato sono stati successivamente individuati dall'antivirus russo come Trojan.Win32.Dialer.XYZ
ma l'efficacia del prodotto è scarsa.

AGGIORNAMENTO:

A quanto sembra il virus anche se estremamente difficile da rilevare in tutte le sue mutazioni
non sarebbe tecnicamente "polimorfico" (analisi di TNT)
Resta comunque una "brutta bestia"
Mi scuso per l'errore.....

AGGIORNAMENTO 2

Analisi di marco di pcalsicuro.com:

"Una definizione carina e corretta sarebbe 'manual polymorphism', cioè una sorta di polimorfismo manuale, indotto grazie ad un packer che permette una rapida ricompressione - tutto server side.

Il dialer utilizza un driver 'CommDrv.sys'. I numeri utilizzati sono:

899161323 (Operatore: Voiceplus)
00881939100516 (Operatore: GMSS)
1784402345 (Operatore: Eutelia)

Che la mano sia russa o comunque est asiatica non penso vi siano grossissimi dubbi:



Così come non fanno neanche lavorare troppo sull'identificazione del tipo di malware, visto che lo lasciano scritto direttamente loro nel codice:
Codice:
D:\Business\ADWARE\Dialer\CommDriver\
Il resto del codice, a parte il packer e qualche altra caratteristica, non è di grandissimo interesse."

lunedì 28 gennaio 2008

Goodbye Callsolutions....

Chiude callsolutions, il sito di affiliazione russo responsabile dell'infame rootkit dial.call che aveva preso di mira esclusivamente l'Italia
Non ci mancherai......

giovedì 24 gennaio 2008

GMER(Anti-Rootkit) v1.0.14.14116 ,"all your rootkits are belong to us"

Faccio un velocissimo post per segnalare l'uscita di una nuova versione dell'ottimo tool antirootikit Gmer.

Lo potete scaricare sul sito ufficiale

http://www.gmer.net/

Altri antirookit efficaci li potete trovare qui

http://antirootkit.com/software/index.htm

In particolare vorrei segnalare

IceSword
RootkitRevealer
DarkSpy
RootKit Unhooker il cui codice è stato rececentemente veduto alla Microsoft (e questo ne ha arrestato, almeno per il momento, lo sviluppo)

Utili e decisamente piu' semplici nell'utilizzo sono anche:

Panda Anti-Rootkit
F-Secure Blacklight
ecc..

lunedì 21 gennaio 2008

SanPietroburgo capitale mondiale del cybercrime

Secondo alcuni articoli sulla stampa internazionale (in particolare statunitense e britannica)
nella citta' russa risiederebbero gli ideatori della rete RBN - russian business network e di storm worm.

Per l'approfondimento segnalo alcuni interessantissimi articoli del washingtonpost, del daily mail
e di wired

http://blog.washingtonpost.com/securityfix/2008/01/unhappy_birthday_to_the_storm.html


http://www.dailymail.co.uk/pages/live/articles/live/live.html?in_article_id=503898&in_page_id=1889
h


http://blog.wired.com/sterling/2007/12/the-daily-mail.html


in particolare vorrei citare dal primo articolo:

"Dmitri Alperovitch, director of intelligence analysis and hosted security for San Jose, Calif.-based Secure Computing, said federal law enforcement officials who need to know have already learned the identities of those responsible for running the Storm worm network, but that U.S. authorities have thus far been prevented from bringing those responsible to justice due to a lack of cooperation from officials in St. Petersburg, Russia, where the Storm worm authors are thought to reside. In a recent investigative series on cyber crime featured on washingtonpost.com, St. Petersburg was fingered as the host city for one of the Internet's most profligate and cyber-crime enabling operation -- the Russian Business Network."
Dmitri Alperovitch [........... ] dice gli che agenti federali che avevano necessita' di sapere sono gia' a conoscenza delle indentita' dei responsabili che gestiscono lo storm worm network , ma alle autorita' statunitensi è stato finora impedito di portare i responsabili davanti alla giustizia per via della mancanza di cooperazione tra i funzionari di SanPietroburgo, Russia, dove gli autori di Storm worm si pensa risiedano. In una recente serie di articoli di indagine sul cybercrime messi in evidenza sul washingtonpost.com, S.Pietroburgo era stata indicata come la citta' ospitante una delle operazioni piu immorali messe in atto dal cybercrime su Internet - Il Russian Business Network
***
"Alperovitch blames the government of Russian President Vladimir Putin and the political influence of operatives within the Federal Security Service (the former Soviet KGB) for the protection he says is apparently afforded to cybercrime outfits such as RBN and the Storm worm gang"

Alperovitch biasima il governo del presidente russo Putin e l'influenza politica di funzionari all'interno del FSS (ex-kgb) per la protezione che evidentemente è fornita a gruppi di cybercriminali come ad esempio RBN e la gang di Storm Worm.
***

"
The right people now know who the Storm worm authors are," Alperovitch said.It's incredibly hard because a lot of the FSB leadership and Putin himself originate from there, where there are a great deal of people with connections in high places."
Le persone giuste ora sanno chi sono gli autori di storm worm Alperovitch dice
E' incredibilmente difficile perche' un sacco dirigenti del FSB e Putin stesso provengono da li (SanPietroburgo), dove ci sono moltissime persone con agganci in alte sfere.
***



Quindi, per quanto mi riguarda, credo che dovremmo convivere con i malware e con altre schifezze simili nei prossimi anni.
Se da un lato si potra' tentare di rendere piu' sicuri i nostri computer con software (s.o. robusti, hips, virtualizzazione, sandbox, antivirus) e adeguate politiche di sicurezza dall'altro sara' necessario essere molto diffidenti per non cadere nelle trappole di ingegneria sociale di criminali senza scrupoli .


P.s. grazie a TNT per la segnalazione dell'articolo :-)

sabato 12 gennaio 2008

Un nuovo worm si diffonde attraverso msn-live messenger

Ieri mentre ero impegnato in una conversazione su msn-live messenger ho ricevuto un file zip (NewPicture031.JPEG-www.FreeUploads.zip) che all'interno aveva un bel virus.

L'analisi tecnica la potete gia' trovare nell'ottima sandbox di sunbelt:

http://www.cwsandbox.org/?page=details&id=70211&password=npdsw

Attualmente solo pochissimi antivirus sono in grado di individuare la minaccia, quindi attenzione.


Aggiornamento: per verificare se siete infetti da questo virus potete utilizzare l'ottimo tool gratuito prevxcsi

prevxcsi http://info.prevx.com/downloadcsi.asp

Iframe nel blog di un esperto di sicurezza dell'AV F-prot

Tempo fa leggevo sul sito pcalsicuro il seguente post ad opera dell'amico marco:

l’amico Michael St. Neitzel, technical spokesman e senior antivirus architect per FRISK, mi ha appena dato la notizia di aver riaperto il proprio blog. Un’interessantissima fonte di informazioni da tenere sempre sott’occhio ;)


FRISK è la societa' islandese che produce l'Antivirus F-prot.

Credo che le immagini dicano tutto:









NO COMMENT :-)


Aggiornamento: iframe malevolo rimosso