www.MegaLab.it

In questi mesi abbiamo assistito ad un'ampia diffusione dei rogue software, fra cui il principale è stato senza dubbio Antivirus XP 2008.

Adesso dal sito Moldavo che già ben conosciamo, raggiungibile all'indirizzo IP 89.187.49.18, arriva una nuova strategia per tentare di distribuire il rogue software ed infettare altri computer.

In un'e-mail che si spaccia per una comunicazione inerente nuovi servizi editi da MSN si trova una novità importante: un link ad un file Swf, un'animazione flash, invece dei soliti eseguibili che fanno pensare immediatamente ad un virus.

Basta cliccare sul link e una volta aperto il file Swf, che si trova sul sito di hosting dati imageshack.us, AntiVir scatta e segnala la presenza di codice malevolo.

Dopo poche ore il file Swf è stato rimosso dal sito di hosting, sono apparsi, sempre sullo stesso sito, numerosi altri file Swf che vengono usati in e-mail spam che reindirizzano a negozi online di vari generi.

Basta chiudere l'antivirus e ritornare nella stessa pagina perché si avvii il download di un piccolo eseguibile , denominato Install.exe, ospitato sul sito Moldavo.

Il file install.exe, altro non è che il downloader per il rogue software XP Antivirus 2008: ad un'analisi sul sito Virustotal.com è riconosciuto dai principali antivirus.

Analizzando le azioni inserite nel file Swf troviamo il link al download del rogue software.

Dopo le immagini pericolose, gli MP3 infetti, i numerosi codec e video fasulli, adesso tocca anche alle animazioni flash: i metodi di diffusione di malware crescono sempre più e si differenziano.