Recebemos duas amostras de malware que despertou a atenção da ESET devido às semelhanças com o Storm/Waledac. Eles utilizam o mesmo mecanismo de distribuição, ou seja, spam com links para um novo eCard alusivo ao Novo Ano e com títulos como “Feliz Ano Novo” ou “Recebeu um novo eCard”. O e-mail em questão possui uma ligação a um sitio que indica ao utilizador que necessita do leitor flash para visualizar o conteúdo.
O link posteriormente redirecciona o utilizador para um ficheiro que parece o programa de instalação do Flash Player (mas claro que não é).
Os supostos ficheiros de instalação apresentam uma dimensão de 475KB, quando comprimidos. O modos operandi é parecido com o Storm pelos seguintes motivos:
- Utiliza Fast Flux
- Apresenta-se como um eCard, e mais concretamente como um ficheiro de instalação do Flash
- Muitas das bibliotecas compiladas estão associadas com o binário
- As máquinas infectadas são usadas para expandir as capacidades de proxy do malware
- Parece estar a fazer uso de um protocolo de rede não centralizado (p2p) baseado em HTTP: a investigação continua.
- O Bot tem capacidades de spam.
Embora o ShadowServer tenha começado a falar desta questão publicamente, para já não existem muitas outras fontes a mencioná-lo.
As amostras são já detectadas pelo NOD32 como Agent.WSA ou Win32/Kryptik.JHS.
Esta botnet está ainda, aparentamente, em fase de desenvolvimento.