Un'altra interessante analisi di malware, questa volta si tratta di MPack, proveniente dalla russia può essere trovato in vendita su molti forum del "settore", l'analisi è stata eseguita da PandaLabs e ciò che risulta interessante è che questa volta si tratta di un bel malware in edizione: "pacchetto per il web"! ;)
In breve: MPack è studiato appositamente per essere installato su qualsiasi sito web che esegua PHP + un database SQL e una volta messo in funzione si occupa di iniettare in maniera dinamica una porzione di codice malvagio all'interno delle risposte che il webserver invierà ai client. .. non sarà quindi necessario modificare direttamente le pagine web del sito e quindi sarà molto più difficile scovarlo. Il codice malvagio in questione si occuperà di analizzare le intstazioni del protocollo HTTP per poi poter decidere quali exploit utilizzare sulla macchina che sta visitando il sito, lo scopo è quello di essere il veicolo per l'installazione di altri malware su macchine che possiedono versioni non patchate di Internet Explorer, QuickTime, Windows 2000, Firefox, WinZip e Opera. Tutte le azioni e i dati collezionati da MPack vengono archiviati sul server SQL, questi dati riguardano gli exploit che sono stati lanciati sulle macchine e quelli che hanno avuto successo, il tutto viene organizzato in una comoda console di gestione che permette di tenere traccia di quanti visitatori sono stati compromessi.
Link: Mpack.pdf [1]
Autore
Mirko Iodice
mirko -at- notageek (.dot) it