Recebemos duas amostras de malware que despertou a atenção da ESET devido às semelhanças com o Storm/Waledac. Eles utilizam o mesmo mecanismo de distribuição, ou seja, spam com links para um novo eCard alusivo ao Novo Ano e com títulos como “Feliz Ano Novo” ou “Recebeu um novo eCard”. O e-mail em questão possui uma ligação a um sitio que indica ao utilizador que necessita do leitor flash para visualizar o conteúdo.

O link posteriormente redirecciona o utilizador para um ficheiro que parece o programa de instalação do Flash Player (mas claro que não é).

Os supostos ficheiros de instalação apresentam uma dimensão de 475KB, quando comprimidos. O modos operandi é parecido com o Storm pelos seguintes motivos:

  • Utiliza Fast Flux
  • Apresenta-se como um eCard, e mais concretamente como um ficheiro de instalação do Flash
  • Muitas das bibliotecas compiladas estão associadas com o binário
  • As máquinas infectadas são usadas para expandir as capacidades de proxy do malware
  • Parece estar a fazer uso de um protocolo de rede não centralizado (p2p) baseado em HTTP: a investigação continua.
  • O Bot tem capacidades de spam.

Embora o ShadowServer tenha começado a falar desta questão publicamente, para já não existem muitas outras fontes a mencioná-lo.

As amostras são já detectadas pelo NOD32 como Agent.WSA ou Win32/Kryptik.JHS.

Esta botnet está ainda, aparentamente, em fase de desenvolvimento.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*