Vodafone distribuisce Mariposa

Tempo fa parlammo della botnet mariposa , sul portale Vodafone  lo definirono un  episodio isolato, inoltre hanno cancellato tutti i post sul loro forum da parte degli utenti che chiedevano informazioni  dell’ incidente accaduto a riguardo , ma andiamo a vedere cosa realmente è successo .

Tuttavia ha anche attirato l’attenzione di un dipendente di una diversa società di sicurezza IT  in Spagna, S21sec, che si specializza nella ricerca di trojan bancari e vulnerabilità. Questo ragazzo aveva anche acquistato un HTC Magic direttamente dal sito ufficiale di Vodafone stessa settimana. Non aveva collegato il telefono al suo PC ancora, ma non appena vide la notizia si affrettò a tornare a casa, collegando il cavo USB e acquisito la sua scheda di memoria sia con Malwarebytes e AVG Free. Ecco che, Mariposa è emerso ancora una volta,  quindi non è stato un caso da parte della vodafone .

Questo client botnet Mariposa è anche caricato nella stessa directory NADFOLDER  nascosta. È anche indicata come AUTORUN.EXE e vengono eseguiti automaticamente quando è collegato a una macchina Windows senza che l’utente compia particolari operazioni.

l client botnet Mariposa stessa è esattamente la stessa come riportato la scorsa settimana, con lo stesso nickname e lo stesso comando e controllo server.

Ecco su che server avviene l’invio dei dati della botnet mariposa :

mx5.ka3ek2.com
mx5.channeltrb123trb.com
mx5.nadnadzz2.info

Inoltre gli esperti sono convinti che  non sono coincidenze , anche per la scoperta di malware nella scheda SD in aggiunta a Mariposa.

Info : http://research.pandasecurity.com/

Novità da non perdere: