25 Dicembre 2007 - ore 18.08

http://www.tweakness.net/imgarchive/Mrs_Clause.jpg

Gli esperti di sicurezza hanno segnalato la diffusione di nuove varianti del famigerato malware "Storm worm (http://www.tweakness.net/news.php?&keys=storm&wherenews=HEADER)" (aka "Dorf") espressamente studiate per sfruttare il periodo delle festività natalizie. L'outbreak è partito circa due giorni fa e continua anche in queste ore con il rilascio di nuove varianti di codice da parte dei malware writer, praticamente ogni ora, attraverso il repacking del codice del server. Per questa ragione le aziende antivirus hanno trovato una certa difficoltà (http://www.prevx.com/blog/72/Storm-worm-wishes-you-all-a-merry-Christmas.html) nell'analisi della nuova minaccia, e nel rilascio di definizioni di protezione in grado di identificare le varianti polimorfiche. Segnalazioni relative al nuovo attacco natalizio di Storm Worm sono state pubblicate dalle aziende di sicurezza F-Secure (http://www.f-secure.com/weblog/archives/00001349.html), Sophos (http://www.sophos.com/security/blog/2007/12/925.html), e PrevX (http://www.prevx.com/blog/72/Storm-worm-wishes-you-all-a-merry-Christmas.html).

SophosLabs ha individuato la nuova minaccia (http://www.sophos.com/security/blog/2007/12/925.html) utilizzando le sue spamtrap. Una serie di campioni di codice nocivo sono state isolate in messaggi di spam inviati alle caselle di posta di tutto il mondo.

Per infettare i computer degli utenti i malware writer stanno tentando di sfruttare come trucco di ingegneria sociale il periodo delle festività e la promessa di un "Personal Holiday Strip Show".

Il formato dei messaggi di spam infettivi è simile a quello visto nelle precedenti campagne di spam sfruttate dal malware durante gli scorsi 8/10 mesi. I messaggi presentano diversi titoli oggetto, studiati per essere abbastanza generici da indurre i destinatari a visualizzare le e-mail. Il corpo del messaggio presenta migliaia di varianti, con testo e messaggio di auguri, tutte con link diretti al medesimo sito web nocivo (merrychristmasdude.com).

Il sito web in questione include immagini di ragazze in abiti natalizi succinti con il titolo "Mrs. Claus Gone Wild". Le immagini e il pulsante "Download for free now!" conducono i malcapitati visitatori a scaricare direttamente l'eseguibile del malware (classificato da Sophos come W32/Dorf-AE, e da PrevX come Stormy:Worm-All Variants). F-Secure evidenzia (http://www.f-secure.com/weblog/archives/00001349.html) che l'indirizzo IP del sito cambia ogni tot secondi e che il malware viene già identificato dal suo prodotto antivirus come Email-Worm.Win32.Zhelatin.pd.

Si tratta dell'ennesimo malware diffuso sfruttando eventi e festività, e realizzato per popolare le cosiddette "botnet".

Approfondimenti:

Report di F-Secure (http://www.f-secure.com/weblog/archives/00001349.html)
Report di Sophos (http://www.sophos.com/security/blog/2007/12/925.html)
Report di PrevX (http://www.prevx.com/blog/72/Storm-worm-wishes-you-all-a-merry-Christmas.html)




Fonte: Tweakness.net (http://www.tweakness.net/index.php?topic=4271)

26 dicembre 2007 alle 22.30


Allerta: Storm Worm Augura Buon 2008


Storm worm prosegue senza nel suo "attacco alle festività" con il rilascio in-the-wild di nuove varianti di codice nocivo diffuse sfruttando messaggi di posta spam. Le ultime incarnazioni di messaggi infettivi fanno riferimento alle feste del prossimo capodanno, tentando di indurre i malcapitati destinatari a scaricare un file nocivo da un sito web. Le nuove segnalazioni di varanti Storm Worm (aka Dorf, Nuwar, ZHELATI) sono state pubblicate dalle aziende di sicurezza F-Secure (http://www.f-secure.com/weblog/archives/00001350.html), Sophos (http://www.sophos.com/security/blog/2007/12/934.html?_log_from=rss), PrevX (http://www.prevx.com/blog/73/UPDATE-Storm-Worm-outbreak.html), Trend Micro (http://blog.trendmicro.com/holidays-proving-stormy/) e McAfee (http://www.avertlabs.com/research/blog/index.php/2007/12/25/and-a-happy-nuwar/).

http://www.tweakness.net/imgarchive/Storm_Worm_New_Year_2008.jpg

SophosLabs classifica le nuove varianti "di capodanno" del malware come Mal/Dorf-H (http://www.sophos.com/security/analyses/maldorfh.html), Trend Micro come WORM_ZHELATI.AIS (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_ZHELATI.AIS). Sophos commenta: "Gli autori di malware hanno dimostrato che per i codici nocivi la stagione delle festività è il momento ideale per rilasciare nuove minacce. La loro speranza è quella di capitalizzare su questa opportunità perché, presumibilmente, tutti sono impegnati con lo shopping natalizio, nel festeggiare o divertirsi, e non si accorgono o ricordano di dover aggiornare le definizioni dei propri antivirus. Questa non-azione è particolarmente pericolosa per gli utenti finali perché gli autori di malware a volte mirano specificatamente alle festività pubbliche quando gli utenti sono a guardia bassa".

Le nuove varianti "New Year greeting card spam" tentano di dirottare le vittime sul sito uhavepostcard.com dove viene lanciato il download dell'eseguibile Happy2008.exe, una copia del codice nocivo. Nella giornata di oggi è stata isoalta un'ulteriore variante (http://www.f-secure.com/weblog/archives/00001350.html) primaria: nuovo dominio infettivo happycards2008.com e nome file modificato in happy-2008.exe.

Prevx Research Lab commenta (http://www.prevx.com/blog/73/UPDATE-Storm-Worm-outbreak.html): "Fino a ieri abbiamo monitorato più di 700 varianti di Storm worm, ripacchettato ogni tot minuti dal server utilizzando una tecnica polymorphic-like per evadere il rilevamento da parte dei software antivirus. Ora il team di Storm worm ha mostrato il suo reale obiettivo: il nuovo anno. A partire da ieri pomeriggio il worm si sta diffondendo col nome di happy2008.exe. Abbiamo visto due varianti differenti di questa minaccia, diverse nel codice rispetto alla prima versione diffusa via spam durante gli scorsi due giorni. La prima è stata online per circa 10 ore e abbiamo visto 166 versioni repacked differenti che utilizzano la stessa tecnica polimorfica degli scorsi giorni".

Secondo Sophos, la variante più recente non utilizza neanche il packing dell'eseguibile. A quanto pare i cybercriminali stanno tentando in questo modo di eludere il rilevamento dei software antivirus che sfruttano tecniche pro-attive per identificare packer runtime sospetti.

Approfondimenti:


Sophos (http://www.sophos.com/security/blog/2007/12/934.html)

PrevX (http://www.prevx.com/blog/73/UPDATE-Storm-Worm-outbreak.html)

TrendLab (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_ZHELATI.AIS)





Fonte: Tweakness.net (http://www.tweakness.net/index.php?topic=4272)

27 dicembre 2007 alle 20.04


Sul blog ufficiale dell'azienda PrevX (http://www.prevx.com/), Marco Giuliani, malware analyst, ha pubblicato nuovi dettagli (http://www.prevx.com/blog/74/Storm-Worm-third-round.html) sulle ultime varianti di "Storm Worm" che stanno in queste ore attaccando le caselle di posta in tutto il mondo, tramite messaggi di spam, nel tentativo di infettare un numero più alto possibile di sistemi. Come detto in due news precedenti (http://www.tweakness.net/news.php?&keys=storm%20worm&wherenews=HEADER), gli autori di malware sperano di sfruttare l'opportunità offerta dalle festività di fine anno.

Secondo Giuliani, sebbene l'impatto dell'attacco sia in lenta attenuazione, l'oubreak sta proseguendo in queste ore con il rilascio di ulteriori varianti del malware. PrevX ha monitorato più di 400 varianti del codice nocivo negli ultimi 4 giorni. Nell'ultime ore è stata isolata una nuova versione di Storm Worm che utilizza un runtime packer differente. Altri due domini sono stati registrati e messi online per diffondere il malware che ora presenta i seguenti nomi: happy-2008.exe e happynewyear.exe.

Le ultime versioni del malware utilizzano inoltre una componente rootkit per nascondere l'infezione al sistema operativo. Dopo essere stato eseguito, il codice nocivo crea un nuovo servizio e un driver nella cartella di sistema di Windows, chiamato clean[4 caratteri random]-[ 4 caratteri random].sys o bldy[4 caratteri random]-[ 4 caratteri random].sys. Il driver si occupa dell'hook di tre API native di Windows: ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile. Lo scopo del rootkit è quello di nascondere le sue chiavi di registro ed i suoi file. Come risultato tutti i file che contengono la stringa "clean" o "bldy" vengono nascosti nel sistema. Successivamente circa 135KB di codice vengono iniettati dal driver al processo services.exe.

Il worm si occupa di collezionare i messaggi di posta presenti nei file con queste estensioni: .adb, .asp, .cfg, .cgi, .dat, .dbx, .dhtm, .eml, .htm, .jsp, .lst, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml. La routine di spam evita di inviare e-mail ad indirizzi di posta che contengono numerose stringhe, in modo da non esporsi all'identificazione: @avp, @messagelab, @microsoft, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, etc.

Il messaggio di posta generato e inviato può contenere nell'oggetto o nel corpo una di queste stringhe: Happy New Year To You!, Wishes for the new year, Opportunities for the new year, New Year Postcard, New Year Ecard, New Year wishes for you, Happy New Year To You!, Message for new year, Blasting new year, As you embrace another new year, It's the new Year, As the new year..., Happy 2008 To You!, Joyous new year, Lots of greetings on new year, A fresh new year. Queste stringhe possono anche essere mischiate e il corpo del messaggio può includere l'indirizzo del ricevente. Il messaggio di posta include sempre un link agli ultimi due domini registrati dai cybercriminali: happycards2008.com o newyearcards2008.com.

Infine una porta casuale UDP viene aperta sul PC infetto in modo da farlo collegare ad una imponente botnet di PC zombie. Questa porta è menzionata nel file clean.config, creato dal malware nella cartella di sistema e reso invisibile dal rootkit. Giuliani commenta (Storm Worm di Fine Anno, Ora Rootkit): "Se l'attacco è attualmente conosciuto – parlando tecnicamente – e le aziende di sicurezza stanno aggiornando i loro software, una nuova domanda emerge: perché questi domini fake sono ancora attivi? Se i server che ospitano i siti vengono costantemente modificati in modo che sia impossibile metterli offline, questi server possono essere raggiunti da 4 domini ben conosciuti. Perché, dopo 4 giorni, nessuno è riuscito con successo a chiudere questi domini? Solo la cooperazione tra aziende di sicurezza, ISP e forze dell'ordine può rappresentare l'arma letale contro questi team che scrivono malware e che sono potenzialmente in grado di compromettere server internazionali cruciali con le loro botnet".

UPDATE: sembra che il nome dell'eseguibile malware diffuso tramite i domini nocivi stia venendo modificato molto spesso, attualmente il file infettivo si chiama fck2009.exe.


Fonte:Tweakness.net (http://www.tweakness.net/index.php?topic=4275)

Lunedì 21 Gennaio 2008

Fonte: TrustedSource.org

Per chi fosse interessato alle info più recenti e le statistiche sulla diffusione dello Storm Worm può visitare la seguente pagina:
http://www.trustedsource.org/TS?do=threats&subdo=storm_tracker

Dal giorno 16 Gennaio 2008 Storm Worm prosegue senza tregua nel suo attacco con nuove varianti di codice nocivo sfruttando messaggi spam di posta elettronica facenti riferimenro alla Festa di S.Valentino del 14 Febbraio
http://www.trustedsource.org/dynamic/blog_images/anti-malware.scur.com-blog-wp-content-uploads-imgu2-20080115-StormValentine.png

Il file malevolo scaricato withlove.exe è attualmente riconosciuto da pochissimi software antivirus
http://bp3.blogger.com/_-6waw8mcpyI/R5Qjf7qivPI/AAAAAAAADrs/1nLgT08B47M/s320/2101vt.jpg

http://bp3.blogger.com/_-6waw8mcpyI/R5RiY7qivQI/AAAAAAAADr0/_X377iOgYmw/s320/2101++ore15+vt.jpg

Attualmente alcuni degli Oggetti delle email utilizzati per diffondere il malware sono i seguenti:
A Dream is a Wish
A Is For Attitude
A Kiss So Gentle
A Rose
A Rose for My Love
A Toast My Love
A Token of My Love
Come Dance with Me
Come Relax with Me
Destiny
Dream of You
Eternal Love

come sempre efficente... grazie per l'aggiornamento. ;)

Attualmente alcuni degli Oggetti delle email utilizzati per diffondere il malware sono i seguenti:
A Dream is a Wish
A Is For Attitude
A Kiss So Gentle
A Rose
A Rose for My Love
A Toast My Love
A Token of My Love
Come Dance with Me
Come Relax with Me
Destiny
Dream of You
Eternal Love

Lista più completa ;)

# A Dream is a Wish
# A Is For Attitude
# A Kiss So Gentle
# A Rose
# A Rose for My Love
# A Toast My Love
# A Token of My Love
# Come Dance with Me
# Come Relax with Me
# Destiny
# Dream of You
# Eternal Love
# Eternity of Your Love
# Falling In Love with You
# For You....My Love
# Happy I'll Be Your Bride
# Heavenly Love
# Hugging My Pillow
# I am Complete
# I Love Thee
# I Would Dream
# If Loving You
# In Your Arms
# Inside My Heart
# Kisses Through E-mail
# Love Is...
# Magic Power Of Love
# Memories of You
# Miracle of Love
# My Love
# Our Love is Free
# Our Love is Strong
# Our Love Nest
# Our Love Will Last
# Pages from My Heart
# Path We Share
# Sending You All My Love
# Sent with Love
# Surrounded by Love
# The Dance of Love
# The Mood for Love
# The Moon & Stars
# The Time for Love
# When Love Comes Knocking
# Words in my Heart
# Wrapped in Your Arms
# You... In My Dreams
# You're in my Soul
# You're In My Thoughts
# You're my Dream
# You're the One
# Your Love Has Opened

Ciao eraser la lista l'avevo copiata parzialmente dal Prevx Blog :) ;), grazie.

Il rapporto di Sophos:
http://www.sophos.com/security/blog/2008/01/1005.html?_log_from=rss

grazie per i vostri contributi ragazzi ;)

Martedì 5 Febbraio 2008

Fonte: Internetnews.com
Link alla notizia: http://www.internetnews.com/ent-news/article.php/3724966

Le forze dell'ordine Americane e Russe sembra abbiano finalmente individuato i criminali che stanno dietro a Storm Worm, ora arriva la parte difficile ovvero l'arresto. Il numero esatto di persone coinvolte, nonché la loro identità non vengono rilasciati, Jon Praed socio fondatore di Internet Law Group ha dichiarato che i cyber criminali si stanno muovendo verso paesi sicuri dal punto di vista dell' estradizione.