martedì 18 dicembre 2007

ll falso PornTube , una nuova trappola degli ucraini di inhoster

Tempo fa mi ero soffermato sui pericoli del virus Zlob
e sulle strategie di diffusione di questo malware. In genere i cybercriminali cercano di far passare il file infetto per un codec video indispensabile per la visione di un filmato pornografico.

La pagina su cui sono capitato è veramente un capolavoro di ingegneria sociale.
Un falso sito stile YouTube




I modi per cercare di ingannare gli utenti sono sempre piu' astuti.

Per quanto riguarda aggiornamenti su RBN (Russian Business network) direi che ho trovato svariati articoli online, in particolare scritti dalla stampa britannica. In UK il furto di identita' ad opera della cybercriminalita' (ed i russi di RBN sono in prima linea) è diventato un gravissimo problema e le autorita' competenti stanno tentando in tutti i modi di metterci una pezza.

Alcune informazioni sull'infame network le potete trovare qui:

http://en.wikipedia.org/wiki/Russian_Business_Network

http://www.smh.com.au/news/security/the-hunt-for-russias-web-crims/2007/12/12/1197135470386.html


Secondo alcune indiscrezioni
il creatore e leader dell'organizzazione criminale RBN conosciuto con il nick "Flyman" sembra essere un 24 enne laureato in "computer science" imparentato con un potentissimo ed autorevole uomo politico russo (alcuni dicono che sia il nipote).

Sembra che un portavoce dell'ambasciata russa in UK abbia prima negato la conoscenza di RBN
e poi abbia suggerito che la struttura ha la sua base in Inghilterra.

In realta' alcuni ricercatori specializzati in sicurezza dicono che sia una specie di mostro con piu' teste, con vari dipendenti e societa' in varie citta' europee oltre che ovviamente nella natia Russia.

Quanti in Italia sono a conoscenza di questa terribile minaccia?

giovedì 29 novembre 2007

Tutti a caccia di RBN (russian business network)

Sembra finalmente che il problema della cybercriminalita' russa stia venendo prepotentemente a galla e il numero di articoli e blog che si occupano di questa piaga cresce rapidamente.

In particolare ci sono pezzi sul washington post, l'economist , il guardian.

N.B. RBN è sostanzialmente quello che io ho definito (per quelli che leggono questo blog)
l'infame gang russa/ucraina CoolWebSearch/gromozon/estdomains/intercage/inhoster/rbn ecc.


Qui sotto potete trovare uno studio molto approfondito e alcuni articoli su questi simpaticoni.
Ho cercato fare un collage per permettere di avere una visione piu' chiara di quello che sta avvenendo sul web:

http://www.bizeul.org/files/RBN_study.pdf


http://news.independent.co.uk/sci_tech/article3201842.ece


Mi sembra che in questo articolo ci sia una inesattezza si parla di panama per i server di RBN
Ma in realta' i server che dal whois risultano a panama sono fisicamente in Russia


http://www.guardian.co.uk/technology/2007/nov/15/news.crime

di questo articolo sottolineo un passaggio:

According to experts from Team Cymru, a research group specialising in internet crime, the Russian firm is linked to around 60% of all cybercrime.
secondo gli esperti di team Cymru, un gruppo di ricerca specializzato nella criminalita' su internet, l'azienda russa è collegata al 60% di tutto il cybercrime



http://www.theinquirer.net/gb/inquirer/news/2007/11/08/alleged-russian-crime-hosting

altro passaggio che vale la pena sottolineare che è un'amara riflessione:

"The Romans built these roads to access the vast areas they had conquered. But, in the end, these same roads led to Rome's downfall"

I romani (gli americani) hanno costruito queste strade (internet) per accedere alle vaste aree che hanno conquistato. Ma alla fine le stesse strade hanno condotto alla caduta di Roma (cybercriminalita')


alcuni articoli di punto informatico:


infine consiglio la lettura del blog

http://rbnexploit.blogspot.com/

sabato 17 novembre 2007

Un zlob al giorno toglie l'antivirus di torno

Faccio un rapido post per segnalare ancora una volta quanto siano poco efficaci gli antivirus che hanno ben poche possibilita' di spuntarla contro gli attuali cyber criminali.
In particolare ho potuto notare la rapidità con cui vengono cambiati i malware su alcuni siti.
Non si fa a tempo a mandare un virus per l'individuazione che immediatamente dopo c'è una variante che non viene identificata.
Nello specifico alludo a virus della famiglia Zlob.



Vorrei anche segnalarvi questo blog che ne sta fecendo un bell'elenco:

http://peki.blogspot.com/

Indovinate un po' dove sono ospitati e da chi è stato registrato il dominio? :-)
Chi legge questo blog di sicuro non sara' sorpreso.


Work in progress........

Ulteriori approfondimenti per quanto riguarda il massiccio uso di siti civetta *.cn (cambia il dominio ma i farabutti sono sempre gli stessi) li potete trovare qui:

http://sunbeltblog.blogspot.com/2007/11/breaking-massive-amounts-of-malware.html


giovedì 15 novembre 2007

Kaspersky Antivirus perde efficacia?

Velocissimo post per mettere l'accento su alcuni problemi di aggiornamento delle basi virali del famoso ed efficiente antivirus russo che ho riscontrato in questi giorni. La velocita' di analisi dei malware e il conseguente aggiornamento delle basi virali è da sempre stato un punto di forza di kasperskylab ma ultimamente ho potuto verificare che questa caratteristica sta venendo meno.
Facciamo 2 esempi pratici con 2 nuovi malware:

Il primo é quello che alcuni AV definiscono Trojan:OSX/DNSChanger.AT o OSX/RSPlug.A
ovvero spazzatura per Apple OSX



Ho mandato il file a Kaspersky circa 15 giorni fa e ho ricevuto risposta, 24 ore dopo, che il file era infetto e sarebbe stata inserita la firma nell' aggiornamento successivo.

Stessa cosa per il file che un analista della loro societa' definisce

Trojan-Downloader.Win32.Delf.cyb

Si tratta dell'n-esimo falso codec video targato Inhoster (Ucraina) descritto in questo post
su castlecops.

http://www.castlecops.com/p1022350-Nasty_codec_iedefender.html




Attuamente nessuno dei 2 virus sono rilevati dall'AV cosa che non mi era mai capitata prima dopo che avevo ricevuto mail di conferma.
Non si capisce davvero questo ritardo nell'update delle basi che di solito è fulmineo.
Forse i problemi tra i coniugi kaspersky stanno portando ad un ridimensionamento dell'organico della societa'?
Difficile dirlo.
Aspettiamo i nuovi test per trarre qualche conclusione ma anche l'esperienza personale ha un peso determinante per la scelta di un prodotto.
La cosa che vorrei è che ci fosse finalmente una societa' AV italiana di grande livello
che possa competere con i giganti internazionali, visto che ormai molti paesi europei ne hanno una.
Questo sarebbe utilissimo nel caso in cui ci fossero attacchi mirati verso il nostro paese.
I tempi di reazione sarebbero in quel caso decisamente minori.

In questa pagina ci sono le nazionalita' delle principali societa' antivirus del mondo

http://av-tests.com/index.php?sub=viren&menue=5&lang=0

come potete vedere manca l'Italia

Aggiornamento:

i virus vengono finalmente riconosciuti da kaspersky 7 come:

Trojan.Mac.Dnscha.dmg
Trojan-Downloader.Win32.Delf.cyb

martedì 13 novembre 2007

Gli sfotto' di callsolutions

Certo che oltre ad essere truffato uno debba essere anche preso per il sedere è veramente
troppo :
Qui potete vedere un bel banner pubblicitario della famigerata societa' russa/ucraina (societa' non è la parola giusta, meglio dire cybercriminalita') che sta dietro al rootkit Dialcall, ovvero uno di quei malware studiati appositamente per il traffico italiano.
Callsolutions si occupa solo del nostro paese.

(meglio andarci con la sandbox abilitata non si sa mai :-) )



hxxp://docentdesign.com/banner/berlusconi.swf


Il sito dei webdesigner di callsolutions




Il sito su cui si trova il banner (registrato dalla solita ESTDOMAINS, INC.) è un server
di UAONLINE (Ucraina online) e si trova in UK. Sul range appartente a questa societa'
potete trovare moltissima spazzatura.

Forse ce lo meritiamo se questi rubagalline da 2 soldi ci prendono di mira, visto che facciamo di tutto per non tutelare gli utenti del web nel nostro paese.

sabato 10 novembre 2007

"Sondaggione semiserio"

Per spezzare un po' ripropongo il sondaggione per sapere cosa ne pensate di questo blog :-)

giovedì 8 novembre 2007

Ancora sul riciclaggio di denaro sporco

Torno velocemente sull'argomento false offerte di lavoro per riciclare denaro di provenienza illecita. E figuriamoci se non c'è qualche fesso di italiano che mette a disposizione il suo conto corrente per spedire i soldi in Russia, Cina o India

http://www.anti-phishing.it/news/articoli/news0711072.php



Aveva messo a disposizione il proprio conto corrente per ricevere denaro sottratto attraverso il phishing e reinviarlo ai propri complici in Russia; adesso un 59enne residente a Frosinone è stato denunciato dalla Polizia Postale di Cremona con l’accusa di riciclaggio di denaro.

L'uomo è accusato di essersi reso complice, tra l'agosto e il settembre scorsi, di phishing, in italiano “spillaggio di dati sensibili”, un' attività truffaldina che sfrutta una tecnica di ingegneria sociale ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici.

Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc. Il 59enne, che fungeva da prestanome, era riuscito ad entrare nei conti correnti di alcuni cremonesi, adescati con messaggi “trabocchetto”, che sembravano provenire dai propri istituti di credito, racimolando una somma complessiva di 20mila euro.

L'uomo, intestatario di un conto corrente, aveva ritirato il denaro trattenendosi una percentuale e il resto lo aveva inviato in Russia ai suoi complici, rimasti per ora senza nome. Gli agenti su mandato della Procura di Repubblica di Cremona, hanno anche effettuato una perquisizione a Frosinone in casa del 59enne, trovando e mail, ricevute di prelievo e quant'altro.Il suo computer è stato sequestrato.

Vittime di questo ingegnoso raggiro, dunque, molti cremonesi che hanno perduto i propri soldi. «Le denunce» ha sottolineato la dirigente Lombardi, «sono arrivate numerose sui tavoli degli agenti della polizia postale di Cremona agli inizi di settembre
di quest'anno». In un caso, in particolare, un cremonese è stato derubato di tutti i risparmi che aveva sul conto.


Ma dico io invece di farci vedere le chiappe di qualche sgallettata da 2 lire in TV perche' non informano le persone dei pericoli che si corrono sul web?


Per quanto riguarda invece il sito i-western.com mi pare che il numero di italiani che ci sta cascando cresca di giorno in giorno.
Sono gli unici che nel forum scrivono il loro indirizzo (come avevo gia' mostrato nel post precedente).



In questo momento sono almeno 10
.Che tristezza.

martedì 6 novembre 2007

L'infame mondo dei programmi di affiliazione

Nuovo post per affrontare un tema che avevo gia' trattato tempo fa.
I programmi di affiliazione che alcuni criminali informatici offrono ai webmaster di tutto il mondo.
Di cosa si tratta?
Molto semplice: questi signori pagano (o meglio dichiarano di pagare, perche' di certo sono le persone meno affidabili che esistano sul web) in base al numero di installazioni fraudolente che riescono ad ottenere.

In sostanza si tratta di inserire un loro codice nel nostro sito (in genere si tratta di un iframe o un javascript)
in maniera tale che non appena un visitatore accede viene immediatamente infettato con un malware

A quel punto il pc del malcapitato è in balia di questi criminali
che possono

  • rubare dati sensibili come password per conti correnti
  • e numeri di carta di credito
  • utilizzare il pc per attacchi Ddos o per l'invio di spam
  • dirottare la navigazione sul web

Ovviamente sanno quanti soldi possono fare (rubare) attraverso queste infezioni ed in base
a quello hanno un tariffario.

Noi italiani siamo dei polli da spennare molto appetibili (in genere siamo il traffico migliore dopo gli australiani)

Mentre facevo il solito giretto esplorativo su quella porcheria che si chiama Russian Business network utilizzato da tutti i cybercriminali del mondo sono capitato su questo bel sitarello (gia' è sparito)




da qui un link mi ha portato su una pagina che ci offre un meraviglioso elenco di farabutti.




tra questi saltano subito all'occhio i "famosi"

ZangoCash (credo americani)
IframeCash (russi)
KlikRevenue (russi)

in particolare in futuro ci occuperemo di questi ultimi.

venerdì 2 novembre 2007

Riciclaggio di denaro sporco

La carenza cronica di lavoro ed il precariato sono condizioni utili a tutta quella serie di truffatori senza scupoli che operano sul web. Mi è sembrata perticolamente interessante una segnalazione di antiphishing.it. Questa volta tutto sembra architettato a regola d'arte e la mail è particolarmente convincente. Tutti i dettagli sono reperibili qui:

http://www.anti-phishing.it/news/articoli/news311007.php
Il nome della falsa società è Infinity Western, raggiungibile dagli indirizzi web i-western.com, infinityw.com e infinitywesternsite.com, la quale esattamente come i suoi predecessori coinvolgerà i malcapitati utente che chiederanno di essere “assunti” in un attività di riciclaggio di denaro sporco punibile ai sensi dell’art.648-bis con un periodo di reclusione tra i 4 e i 10 anni.


L'immagine del sito:



Ho fatto un giretto sul loro forum ed ho trovato gia' nostri connazionali che che hanno abboccato.



Vista la buona qualita' con cui e' stato scritto il testo della lettera direi che si tratta di una organizzazione di italiani e gente dell'est europa (probabilmente rumeni).
I server che ospitano i siti associati sono tutti in Romania.

Attenzione quindi a chi vi chiede di aprire un conto corrente e far transitare del denaro ricompensadovi con una percentuale.
Si tratta di RICICLAGGIO DI DENARO SPORCO (le pene sono anche piuttosto severe)
E' ovvio che questo denaro è di provenienza illecita perche'
se non fosse così una azienda non lo affiderebbe certo ad uno sconosciuto contattato tramite mail spedite a milioni di persone.

Aggiornamento:

il sito è ospitato attualmente dai seguenti server:

87.70.125.106 israele
89.139.121.5 israele
70.234.212.160 USA
77.81.209.197 romania
82.81.112.213 israele
69.230.187.254 USA

89.139.231.221 israele

ed altri italiani si aggiungono al forum (brutto segno)

Aggiornamento 2

i server ospitanti i siti continuano a variare

80.133.192.99 germany
82.78.230.222 romania
87.11.108.92 italia
89.139.173.88 israele
79.114.100.44 romania

Aggiornamento 3

I server contnuano a cambiare un meccanismo dinamico.
Questa è l' n-esima conferma che si tratta di una truffa.

lunedì 29 ottobre 2007

Exploit su una vulnerabilita' dei PDF massacreranno milioni di computer italiani?

IMPORTANTE!!

E' noto da tempo che le versioni 8 e precedenti del famoso software di adobe, acrobat reader contengano una vulnerabilta' piuttosto seria. Ovviamente questa notizia non poteva non fare gola a molti crimininali informatici ed in particolare ai nostri carissimi amici russi di RBN.

Una notizia riportata dal seguente sito è davvero molto preoccupante e ne riporto il testo integralmente:

http://www.enews20.com/news_Russian_Hacker_Team_Responsible_for_Attacks_Using_PDF_Files_03356.html


A security researcher has recently reported that the ongoing attacks using malicious PDF files are caused by one of the most notorious Russian hacker groups, called the Russian Business Network of RBN.

So, according to Ken Dunham, iSight Partners Inc.’s director of response, it is the Russian Business Network’s members that are behind the recent attacks that use malware-armed PDF attachments. These malicious PDF files have started to appear in the users’ email accounts’ inboxes starting this Tuesday and they have already started to succeed in infecting the Windows systems, which have been their initial targets.

This type of attack is installing on the infected computer system a pair of rootkit files that “sniff and steal financial and other valuable data”, as Ken Dunham has said. The computers could easily get infected because the Russian cybercrimilas use PDF documents that seem to be quite all right. However, the corrupted PDF files are being sent through spammed emails and arrive with filenames such as YOUR_BILL.pdf, BILL.pdf, STATEMENT.pdf or INVOICE.pdf

The Russian hackers have exploited the “mailto:” protocol vulnerability that has been disclosed by the U.K.-based security researcher Petko Petkov. The users have just to open the attacking PDF file, and the Trojan called Pidief.a is already launched and knocks out the Windows firewall. Pieces of malware are downloaded the computers is compromised. This is why this represents a highly dangerous type of attack and we all should be careful with the PDF spamm email.



Considerando il numero enorme di pc che contengono versioni di acrobat reader non aggiornate la situazione potrebbe diventare ben presto catastrofica.

Io stesso ho appena effettuato un controllo con secunia software inspector e sono risultato vulnerabile:





AGGIORNATE IMMEDIATAMENTE ACROBAT READER!



Su segnalazione di TNT cito questo interessantissimo articolo.

http://www.eweek.com/article2/0,1895,2209010,00.asp

Di questo scritto metto in evidenza un passaggio:
a group affiliated with the Gromozon Trojan and the LinkOptimizer Trojan attacks started to spread their own brand of malware using a variation on the PDF exploit, he said.

Using names like "report.pdf" and "debt.2007.10.31.816537.pdf", the PDF file installs several different pieces of malware, including the Zeus variant of the PRG Trojan. It uses anti-debug/anti-VMware tactics to evade analysis and slowly downloads other files to the infected host via BITS (Background Intelligent Transfer Service), a lightweight HTTP-based protocol that is usually allowed through firewalls because it's what Microsoft Update uses, Jackson said.

The new PDF malware is communicating back to servers that are not on the Russian Business Network, but instead have addresses in Malaysia, although SecureWorks is detecting data on the malware that's in Russian.



Forse siamo alla vigilia di un nuovo devastante attacco della portata simile se non superiore a quella di gromozon/linkoptimizer da parte dei soliti noti

venerdì 26 ottobre 2007

Il paese dei balocchi per i truffatori con dialer

Giro una notizia così come l'ho appresa stamattina da antiphinshing.it ed è talmente interessante che ne copio integralmente il testo:

Sono impressionati i numeri che emergono dall’ultima operazione condotta dalla Polizia Postale che ha permesso i interrompere una maxi frode con numeri a valore aggiunto 899 compiuta esclusivamente da due persone ed in grado di fruttare ben 6 milioni di euro.

Un cittadino italiano e uno russo, sono stati denunciati all'autorita' giudiziaria della Spezia con l'accusa di aver truffato 67 mila utenti per un importo complessivo di 6 milioni di euro.

Le indagini, durate sei mesi, fa sapere una nota della polizia postale, che ha curato l'inchiesta, sono partite dalla denuncia di 74 cittadini spezzini che hanno subito una serie di truffe perpetrate attraverso la numerazione 899.

I cittadini avevano ricevuto fatture telefoniche esorbitanti per connessioni internet abusive ed occulte verso le citate numerazioni. I truffatori erano stati particolarmente abili nell'uso delle tecnologie informatiche, sfruttando la vulnerabilita' dei sistemi operativi dei computer degli utenti che a loro insaputa venivano dirottati sui numeri a pagamento.

Durante le indagini sono state effettuate perquisizioni nella sede legale di una societa' di San Marino e nell'abitazione di un cittadino di Rimini, dove si trovavano i server, che sono stati sequestrati.

I particolari dell'operazione, saranno resi noti domani mattina alle 11, (26 ottobre ndr.) durante una conferenza stampa nella sede della Polizia Postale e delle Comunicazioni della Spezia
. [Tratto da AGI]


Fonte: Anti-Phishing Italia

Per contrastare queste frodi basterebbe una leggina di 3 righe, ma tutti guadagnano con questa spazzatura, ministero delle comunicazioni compreso.

mercoledì 24 ottobre 2007

Nuovi alleati anti CWS/Gromozon

Faccio come al solito un velocissimo post per segnalare un blog che mi pare abbia preso sul serio la lotta agli amici russi/ucraini di cui ci siamo occupati su questo spazio:

http://rbnexploit.blogspot.com/

Il termine per definire i simpaticoni è RBN (Russian Business Network)

In verita' potremmo usare mille definizioni diverse ma grossomodo la gente e' sempre quella li'

Alcuni nomi della galassia che io definisco Coolwebsearch/Gromozon:

(gromozon/linkoptimizer è il nome del virus che ha causato moltissimi problemi quasi esclusivamente in Italia)

  • RBN
  • Estdomains
  • atrivo/intercage
  • cernel
  • Inhoster
  • NETCATHOST
  • Klikrevenue
  • UAONLINE
  • Beyond The Network America
  • Too Coin Software Limited
  • Upl telecom CZ
  • Pilosoft
  • MEDIADAT-MOLDOVA
  • DATAPOINT-NET
  • RUSONYX-NET
  • NETHOUSE-MOSCOW
  • AKIMON-NET RBN
  • LINO-NET Israele
  • ecc.
Un altro sito che mi sembra particolarmente utile è :

http://www.malwaredomainlist.com/mdl.php

domenica 21 ottobre 2007

Falsi programmi - Rogue applications

Solito post rapidissimo per mostrare una serie di domini graficamente ben fatti che contengono applicazioni malevole. Si tratta nello specifico di

  • falsi codec video
  • falsi client per bit-torrent
  • falsi download manager
  • falsi tool di compressione
  • falsi mediaplayer
Quindi come potete vedere i creatori di malware ampliano la tipologia di programmi dai falsi antispyware/antivirus a una serie di utility di vario genere.


1) 3wplayer.com
2) bitdownload.org
3) bitgrabber.com
4) bitroll.com
5) c4dl.com
6) cash4downloads.com
7) cv.netpumper.com
8) download.netpumper.com
9) get-torrent.com
10) inside.3wplayer.com
11) netpumper.com
12) playon.play3w.com
13) plugindl.com
14) torrent101.com
15) torrentq.com
16) torrentsoftware.org
17) winzix.com
18) zaebb.play3w.com
19) divoplayer.com

i siti sono tutti sull'ip 69.72.144.122 mentre i file sono ospitati su 67.15.107.166.



il file viene rilevato da kaspersky 7 come Trojan.Win32.Obfuscated.en

sabato 13 ottobre 2007

Siti civetta sempre piu' ingannevoli

Prendo spunto da una segnalazione che aveva fatto tempo fa GmG per mostrare una serie di siti particolamente ingannevoli ospitati da un altro dei famigerati hoster dell'allegra compagnia di infamoni russi di cui si occupa questo sito.
La societa' è UPL telecom s.r.o. e si trova in repubblica ceca. (qui ho trovato solo immondizia)
Il range si trova da tempo in blacklist pero' il numero di siti e la particolare cura che hanno messo per infettare come al solito SOLO utenti italiani merita una certa attenzione.

Ecco alcuni esempi:

acquedotto.info
adusbef.info
agenziaspazialeeuropea.info
chemioterapia.info
giochi-olimpici.info
stazionespaziale-internazionale.info
ecc.






il numero dei domini registrati dovrebbe essere dell'ordine delle migliaia e moltissimi non sono ancora attivi.

Una lista abbastanza completa l'ho postata sul forum sicurezza di hwupgrade

http://www.hwupgrade.it/forum/showthread.php?p=19127554#post19127554


come potrete vedere nelle immagini non si tratta della solita accozzaglia di keyword senza nessuna correlazione ma di sitarelli con informazioni anche utili.

Diamo un'occhiata al codice senza andare ad approfondire troppo:
sul fondo della pagina c'è il solito iframe malevolo e un "contatore".



qui c'è il seguito



Ovviamente questo punta un server che attraverso exploit tenta di farci scaricare un malware.

Le tecniche di infezione sono sempre le stesse.


AGGIORNAMENTO ore 22:30 16/10/07


all'interno del codice delle pagine hanno aggiunto



questa stringa di codice per pubblicizzare l'n-esimo falso antispyware.




sull'ip 203.121.79.55 (malesia)

ci sono anche questi altri falsi antimalware

1) secure.isoftpay.com
2) ISoftPay.Com Secure Order Page
3) ISOFTPAY.COM" gping="&POS=10&CM=WPU&CE=3&CS=AWP&SR=3&sample=0
4) magicantispy.com
5) magicantispy.com" gping="&POS=16&CM=WPU&CE=9&CS=AWP&SR=9&sample=0
6) malware-alarm.com
7) scanner.spy-shredder.com
8) scanner.xmalwarealarm.com
9) scanner.xspy-shredder.com
10) spy-shredder.com
11) spyshredder-scanner.com" gping="&POS=11&CM=WPU&CE=4&CS=AWP&SR=4&sample=0
12) winxdefender.com


ed anche

Adwareremover2007.com
Drives-cleaner.com
spy-shredder.com
ecc.

IMPORTANTE OSSERVARE L'IMMAGINE SEGUENTE





Domain Name: ISOFTPAY.COM

Registrar: ESTDOMAINS, INC.
Whois Server: whois.estdomains.com

Ci truffano addirittura utilizzando una connessione con protocollo sicuro https che solitamente
garantisce che dietro ci siano aziende affidabili . Estdomains ha ridotto il web ad un immondezzaio.

sabato 29 settembre 2007

Traffico italiano merce pregiata per i truffatori del web

Faccio un post rapido che non credo aggiugera' nulla di nuovo a quello che gia' sanno coloro che leggono questo blog, ma volevo sottolineare quanto siano presi in considerazione gli utenti italiani come potenziali vittime di diffusione di malware, trojan-clicker e dialer.
Molta di questa gentaglia paga centinaia di dollari per avere dirottati sulle loro pagine trappola nostri connazionali perche' ovviamente sanno che una buona percentuale si infettera' attraverso exploit e questo consentira' loro di avere un facile guadagno.
Io stesso ho trovato molte offerte di questo tipo su svariati forum di webmaster. Ovviamente l'unico contatto era un numero di ICQ.
Per chi avesse la tentazione di mettersi in affari con queste gang sappiate che sara' la prossima vittima di qualche fregatura.

Qui potete vedere come ci siano script ad hoc solo per il traffico italiano.

versione italy:

versione noitaly:


Tutto questo è veramente irritante. Gia' la cosa è insopportabile se fatta da nostri connazionali ma adesso che il fior fiore della delinquenza informatica dell'est-europa si sia messa a rompere le scatole in questo modo è troppo.

Non appena avro' tempo mettero' dei link che mostreranno le belle facce di quelli che sono dietro ad una dell'organizzazioni piu' infami che esistono nel web. E' composta da russi.
Così uno si toglie qualche curiosita' :-)

Vi invito a leggere poi questi interessatissimi articoli
http://www.anti-phishing.it/news/articoli/news270907.php
http://www.anti-phishing.it/news/articoli/news2609072.php
Il Ministero delle Comunicazioni continua a rilasciare numerazioni 899
(ad oggi la cifra di è 140.000 numeri a valore aggiunto, ma aggiunto di che?)
Questo è lo sviluppo tecnologico e i nuovi servizi delle compagnie telefoniche:gli 899 e i numeri satellitari .... siamo davvero sull'orlo del baratro come l'argentina.


P.s. GOOD NEWS:Italianprogrammi e tutti i siti analoghi sono stati oscurati da google. Qualche giorno dopo sono spariti dal web.

martedì 11 settembre 2007

Precisazioni sulla blacklist

Prendo spunto da un commento al post che riguarda la blacklist per precisare alcune cose.
Mi è stato segnalato che alcuni range di ip bloccati contengono anche siti legittimi.

esempi citati:

- creativecommons.org (ThePlanet.com - 67.19.167.98)
- www.locandacinquecerri.com (Layered Technologies, Inc. -72.232.18.162)
- www.mgbrescia.it (ThePlanet.com - 70.85.249.221)
- www.michaelmoore.com (HopOne Internet Corporation - 66.36.252.57)

Questi vanno ovviamente eliminati dalla lista

Mentre per quanto riguarda
download.skype.com gli ip di questo non sono mai stati in blacklist mi pare.


E' assolutamente vero quindi ma il numero enorme di immodizia che avevo trovato mi aveva indotto ad inserire i blocchi nella lista.Me ne ero gia' accorto io stesso con gli hoster Theplanet e Everyones Internet

Non tutti range che sono nella blacklist hanno lo stesso grado di pericolosita'.
Ad esempio io preferisco impedire l'accesso alle pagine civetta ma in realta' basterebbe bloccare i server che ospitano i malware.

Se non volete utilizzare la lista full perche' temete che qualche sito importante risulti inaccessibile potete filtrarne un sottoinsieme.
Nello specifico consiglio fortemente di inserire
tutti quelli che si trovano in russia, ucraina, repubblica ceca , israele , in asia , uk e negli usa almeno atrivo/intercage, Beyond The Network America, Pilosoft , ISPrime etc.
Direi di riservare lo stesso trattamento anche ai depositi di dialer, ai falsi programmi antivirus/antispyware e ai siti di statistiche gratuite con "sorprese" sgradevoli

Le segnalazioni di questo tipo sono sempre particolarmente apprezzate

lunedì 27 agosto 2007

Italianprogrammi.net : Analisi di un archivio costruito per infettare

Torno ancora una volta su un tema gia' trattato in precedenza:
I siti archivio costruiti per infettare.
Penso che meritino un approfondimento visto che ne ho trovati parecchi.
Prendiamo come esempio italianprogrammi.net che è spesso consigliato come fonte di download.
Questo sito è ospitato da intercage inc. ed è stato registrato da estdomains il che gia' è sinomino per entrambe le societa' di malware, scam, spam ecc.


Nella home page non c'è nulla di anomalo ma quando andiamo a visitare una delle pagine dell'archivio scatta la trappola. Non c'e bisogno di scaricare nulla perche' l'attacco avviene prima tramite exploit.
Interessante notare che lo script malevolo viene eseguito una sola volta, nella visita successiva non succede nulla.

Per venire colpiti mi pare sia necessario avere avere un indirizzo Ip italiano e utilizzare Internet Explorer.

Vediamo cosa succede in dettaglio.Nello screenshot c'è il momento in cui viene caricato lo script malevolo



diamo un'occhiata al codice:




[una curiosita' :l'indirizzo e il numero di telefono dell'intestatario di theadbroker.net, che è stato registrato dalla famigerata Estdomains, sono di un albergo della Sardegna. Che questi farabutti ci siano andati in vacanza?]

il sito theadbroker.net dovrebbe puntare a quest'altro dominio
sunnyvalley.info (sono entrambi ospitati dalla nota Intercage negli USA)

che contiene il seguente iframe



dove sono presenti 8 javascript offuscati malevoli



Quest'ultimo server (195.238.242.76) si trova in moldova e appartiene ad un range di Ip pericoloso gia' in blacklist da tempo.

Questa volta non faro' ulteriori analisi degli script e dei malware che vengono scaricati.

Qui sotto c'è una lista di domini assolutamente da evitare costruiti per il medesimo scopo e con lo stesso meccanismo (l'ho postata sul forum sicurezza di hwupgrade)


LISTA DOMINI:http://www.hwupgrade.it/forum/showthread.php?t=1545882

Qui invece c'è un sito un video che mostra cosa succede o succedeva (non è recentissimo) visitando il sito installare.net


http://www.youtube.com/watch?v=rlqnszS2qsk

la fonte di questo video è la società israeliana finjan

venerdì 17 agosto 2007

Ransomware: la terribile minaccia di trovarsi l'HD criptato

Prendo spunto da una serie di post sul blog di Sunbelt per trattare una nuova (ma non nuovissima) grave minaccia informatica.
Una tipologia di malware che potrebbe diventare in futuro particolarmente diffusa:
il Ransomware.
Questo tipo di software cripta i dati per permettere al cybercriminale di richiedere un riscatto (Ransom) per la decodifica.

Nello specifico se il Ransomware di cui parla Sunbelt fosse collegato alla gang di russi/ucraini di cui si occupa questo blog o comunque a persone che fanno affari con quei farabutti la cosa sarebbe davvero preoccupante.

http://sunbeltblog.blogspot.com/2007/08/new-ransomware.html
http://sunbeltblog.blogspot.com/2007/08/possible-decryptor-available-for-trojan.html
http://sunbeltblog.blogspot.com/2007/08/this-makes-it-all-worth-it.html

Invece di trovarci installato attraverso gli exploit sul browser un pur sempre pericoloso trojan-clicker e/o un dialer fino ad arrivare ad un keylogger o un infame rootkit, se venissimo colpiti da un malware di questo tipo sapremmo bene a quali catastrofi andremmo incontro.
Ben peggiori delle rotture di scatole che ha causato un virus devastante come Gromozon.

Criptare i file con algoritmi di cifratura forte significa sostanzialmente perdere tutti dati se non si ha la chiave per la decodifica.
Perchè per quanto mi riguarda di pagare non se ne parla neppure. NON SI DEVE FARLO MAI.
Anche se si tratta di 150 - 200 dollari.
Noi italiani un po' esperienza nei sequestri (di ben altra importanza) purtroppo ce la siamo fatta.


La perdita di tutti i dati contenuti nel nostro hard disk è stato sempre un avvenimento drammatico
sia che esso possa accadere per colpa di una rottura dell' hardware sia per colpa di un virus.
Per questo fare dei backup costantemente è una di quelle pratiche che mai e poi mai dovrebbero essere dimenticate.
Con la diffusione delle pendrive e dei masterizzatori DVD non dovrebbe essere cosa troppo difficile.
Dover pagare per decrittare quello che è nostro è qualcosa di particolarmente odioso per cui
visto i tempi che corrono è meglio iniziare mettere al sicuro i dati importanti.


Qui ci sono altri link che parlano dei Ransomware

http://punto-informatico.it/p.aspx?id=1307748
http://www.downloadblog.it/post/3365/ransomware-trojans-larrivo-dei-ricatti-digitali

qui un altro caso di cui parla Panda software

http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/07/17/A-new-case-of-RansomWare-_210021002100_.aspx


Nel caso di sunbelt un utente è riuscito a recuperare i dati grazie ad un tool di decodifica che la famosa societa' di sicurezza ha ricevuto da fonte anonima.In altri casi i file non erano stati codificati con l'argoritmo che sostenevano di aver usato e gli specialisti delle societa' antivirus (prevx) sono riusciti a mettere a punto un programma per sistemare il tutto, come ad esempio nel caso seguente:

http://www.pcalsicuro.com/main/2007/07/il-trojan-ti-spia-e-ti-minaccia/

Quindi prima di strapparci i capelli facciamo un giro sul web per vedere se qualcuno ci ha risolto la grana.

Ma non possiamo affidarci ne' alla efficacia degli antivirus ne' a colpi di fortuna come questi.
Una sola parola ha senso: BACKUP

Chiudo con i soliti consigli: navigate con l'account limitato + firefox + sandbox
Aggiornate il sistema operativo con windows update e i controllare gli altri software con secunia inspector.
Usate un antivirus efficace ed aggiornato e bloccate con il firewall gli Ip malevoli.

AGGIORNAMENTO 18/8/07

Ho fatto qualche ricerca sul web e le cose che ho trovato non sono proprio rassicuranti.
Per quanto riguarda il ransonware di cui parlava Sunbelt sembra che sia saltato fuori da una
installazione di iframedollars (sono russi) che usa exploit per infettare i computer. Quello che fanno questi simpaticoni è offrire un"particolare" programma di affiliazione ai webmaster, ovvero se uno mette una determinata stringa nelle proprie pagine web
loro ci pagano. Ma attenzione questo codice fa scaricare malware pericolosissimi e adesso addirittura ransomware! Fare "affari" con questi tizi significa metterersi al servizio della criminalita' organizzata tralasciando il fatto che possono tranquillamente, come è probabile, truffare anche i loro "clienti".

qui potete leggere un articolo in italiano. A differenza di quello che è riportato
mi pare che ora paghino in base al numero di pc infetti.

http://www.weekit.it/index.php?option=com_content&task=view&id=37805&Itemid=148

qui ci sono altri articoli in inglese che risalgono anche al 2005

http://www.informationweek.com/showArticle.jhtml?articleID=163701736
http://www.eweek.com/article2/0,1895,1829174,00.asp

Gli italiani sono polli da spennare particolarmente appetibili come potete vedere nello screenshot



"Condizioni del servizio" :-)



21 persone compongono questa organizzazione criminale?
Non so.....




Mi sto rendendo conto sempre di piu' che esiste tutto un mondo di criminali informatici che trama alle nostre spalle per derubarci. Sicuramente sono di tutte le nazionalita' ma i cittadini dell'est-europa ed in particolare i quelli dell'ex unione sovietica (russi, ucraini , bielorussi , lituani ecc.) sono particolarmente agguerriti per quanto riguarda le truffe verso il nostro paese.
Per capire quello che sta accadendo basta leggere "particolari" forum scritti in cirillico.
La cosa incredibile è che il tutto è fatto alla luce del sole con una sfacciataggine e una strafottenza dovuta ad un totale senso di impunita'.
Come se non bastassero quelli che abbiamo noi di farabutti. Magari proprio coloro che si nascondono dietro alla facciata di una rispettabile S.p.a.



mercoledì 8 agosto 2007

Il sito del Subsonica martellato a colpi di spam di pagine civetta

Non faccio a tempo a finire un articolo che subito devo scriverne uno successivo per parlare di un'altra tecnica molto in voga per infettare i computer. Occuparsi di certe cose è come cercare il petrolio in Arabia Saudita: appena uno fa un buco esce subito qualcosa di interessante.
Lo spunto me lo da l'enorme quantita' di spam sulla pagina dei commenti del sito dei Subsonica, il noto gruppo musicale torinese.



Vediamo soltanto alcuni link pericolosi di esempio inseriti:

hxxp://itnewarea1.cn/ (84.16.251.235)
hxxp://itnewarea2.cn/ (66.232.117.81)
hxxp://itnewarea3.cn/ (72.232.254.74)

questi 3 sono solo una specie di indice con tutti i link





Quindi come potete vedere i modi per farci arrivare su qualcosa di molto dannoso sono essenzialmente 4

1) attraverso le pagine dei risultati dei motori di ricerca
2) mediante spam sull'email
3) con spam su forum o web-board
4) attraverso hack di siti legittimi (modificati con iframe o javascripy offuscati)


Eliminate sempre dai Vs. forum e web-board lo spam di questo tipo

domenica 5 agosto 2007

Analisi di portali costruiti per infettare i pc italiani

Questa volta cerchero' mostrare come è costruito un sito web o meglio una specie portale che contiene qualsiasi cosa per massacrare il nostro computer e qualche volta svuotare anche il nostro portafoglio.
Immondizia simile l'avevo gia' fatta vedere tempo fa ma senza fare i giusti approfondimenti.
Vediamo a cosa andiamo incontro se navighiamo su questa spazzatura.
Per fare questo utilizzero' 3 siti esempio sempre della gang che è tanto cara a questo blog ed in particolare:

  • itpubblicazioni.net ip:89.149.221.23
  • itpubblicazioni.info ip:89.149.221.23
  • its-search.com ip:88.214.198.10

Non andate su queste pagine e se volete farlo a vostro rischio e pericolo nemmeno con Firefox visto che usano anche la recentissima vulnerabilita' firefoxurl!

Come questi ce ne saranno migliaia sempre messi su da questi simpaticoni di cui ben conosciamo abilita' e furbizia.
Vediamo cosa tentano di fare:

1)Venderci falsi antivirus o antispyware (facendoci credere con dei trucchetti di bassa lega che siamo infetti)
In inglese vengono definiti rogue AV/antispyware ed una lista piuttosto aggiornata la potete trovare qui
http://spywarewarrior.com/rogue_anti-spyware.htm

2) Pubblicizzare o vendere farmaci simil-Viagra senza principio attivo o nocivi per la salute
3) Spam di pornografia e suonerie per cellulari
4) Dirottare il browser verso determinati siti (spesso pericolossimi con truffe di tutti i tipi)
5) Infettare il nostro computer con malware in molti casi nascosti da rootkit e quindi di difficile individuazione e rimozione

Analizziamo il primo
Come potete vedere, mentre scrivevo questo post, hanno aggiunto un exploit per la recente vulnerabilita di firefox nella gestione degli URI



Nel codice sono presenti alcuni javascript malevoli:



qui si viene di indirizzati al sito del falso antispyware Systemdoctor (204.16.204.56)
Invece l' iframe con il sito rxadksqgxm.com (195.238.242.98)
punta ad un range in moldavia ben noto che contiene solo malware e virus che tentano di installarsi attraverso exploit



nell'immagine qui sopra c'è un javascript che punta ad un sito valik.biz (89.149.226.62) che contiene uno script offuscato la cui decodifica mostra i seguenti siti
adware/spyware, truffa ,con tracking cookie etc. molto probabilmente legati all'infame network COOLWEBSEARCH

hxxp://search.upspiral.com infame motore di ricerca
hxxp://www.searchfeed.com infame motore di ricerca
hxxp://cingular.ringringmobile.com
hxxp://www.Shopping.com
hxxp://www.DealTime.com
hxxp://www.MonsterMarketplace.com
hxxp://www.oxysearch.com
hxxp://www.looksearch.com
hxxp://thinklocal.com'


AGGIORNAMENTO 19/8/07

Il secondo è simile al primo quindi ne evito l'analisi





Per il terzo esempio, senza approfondire troppo, mi limito a
mostrare il codice della pagina nel quale si possono notare insidie e trabocchetti
di tutti i tipi



codice della pagina pericolosa:



e ancora



P.s.

Molti ip che ospitano fisicamente il malware in genere sono in russia e ucraina ma ultimamente ho trovato anche parecchi server malesi e di hong-kong, sempre sotto il controllo di russi, che ospitano i virus

sabato 28 luglio 2007

Dalla Russia con amore: analisi di un tipico attacco con pagine civetta

Prendo lo spunto da una discussione fatta poco tempo fa per mostrare quello che è un tipico attacco fatto con pagina civetta verso i computer italiani.
Ricordo che i siti web costruiti ad arte da questa gente (russi/ucraini) per infettare automaticamente il vs. pc sono dell'ordine di milioni (milioni di pagine web indicizzate da google e dagli altri motori di ricerca).

Non visitate i link mostrati in chiaro nelle immagini di questo post.


1) Iniziamo a fare la nostra solita ricerca su google di una determinata parola (ho scelto una cosa che mi ha permesso di andare a colpo sicuro)
I risultati nell'immagine non promettono nulla di buono




2) ecco mentre è visualizzata del browser




3) analizziamo il codice sorgente della pagina




4) decodifichiamo il javascript offuscato con una serie di semplici accorgimenti



5) il link in chiaro contiene a sua volta un nuovo javascript offuscato




6) nuova decodifica e nuovo link




7) la pagina del link ci mostra un'immagine porno (non l'ho censurata) per distrarci dalla minaccia



8) Nel codice c'è il seguente iframe in chiaro



9) se il browser è internet explorer si accede al link qui sotto altrimenti si viene reindirizzati al sito di google (almeno così mi è sembrato)



10) li nuovo script offuscato (questa volta non mostro la decodifica) che fa scaricare automaticamente il file roin.exe (un bel virus)



L'analisi su virustotal è abbastanza deprimente. In questo momento solo 4 antivirus riescono ad identificarlo
e sono:
  • esafe suspicious Trojan/Worm
  • f-secure W32/Horst.gen25.dropper
  • norman W32/Horst.gen25.dropper
  • panda Suspicious file
Molto utile la sandbox di norman che ci spiega cosa fa il malware




come potete vedere viene installata una falsa toolbar di google:Googlegoogletoolbar1.dll
insieme ad altra immondizia

qualcuno su castelcops aveva gia' individuato il file

http://www.castlecops.com/t195746-roin_exe_Trojan_and_fake_Google_Toolbar_installer.html

per finire diamo un'occhiata all' ip in cui è ospitato il virus
89.253.244.209 Russian Federation - Rusonyx il cui range è gia' nella mia blacklist da tempo

Su questo server ci sono anche questi altri pericolosissimi domini:

1 AMAZINGSEXMOVIE.COM
2 BESTTOPSEARCH2007.COM
3 NEWWEEKLYNEWS.COM
4 SANDRACOUNTER.COM
5 SECKEYPRO.COM

Sempre registrati da russi

Come difendersi dal rischio di infettarsi durante la navigazione?
Una delle possibili soluzioni:
account limitato + sandbox[consiglio sandboxie] + firefox (o opera)


Aggiornamento:

il file ora è riconosciuto (su mia segnalazione) da

Kaspersky: Trojan.Win32.Agent.aun
Antivir: HTML/Dldr.Ag.E.37.A
Panda: Trj/Agent.GAV

giovedì 26 luglio 2007

Lista domini hackerati su server italiano hosting solutions

Grazie all'amico edgar ed al suo tool in fase di sviluppo ho fatto alcune ricerche per controllare se ancora vi siano tracce di siti hackerati sugli hoster presi di mira qualche mese fa.
Per adesso sui server della societa' fiorentina Hosting Solutions ho trovato questi domini infetti
con un javascript offuscato:

IP:194.242.61.210

hxxp://www.24net.it
hxxp://www.affittiinsardegna.it
hxxp://www.aissa.it
hxxp://www.brosmanifatture.it
hxxp://www.caprillina.it
hxxp://www.cdm-dellamura.it
hxxp://www.chiesadicristoroma.it
hxxp://www.cmdm.it
hxxp://www.comitatomadeinitaly.it
hxxp://www.conventionplanning.it
hxxp://www.crvo.it
hxxp://www.dodibattaglia.it
hxxp://www.euroufficio.org
hxxp://www.ffuture.it
hxxp://www.fitvillage.net
hxxp://www.gierre-group.it
hxxp://www.giuditta-countryhouse.it
hxxp://www.hotelriomarina.it
hxxp://www.hotels-hostels-florence.com
hxxp://www.leonberger.it
hxxp://www.man-group.it
hxxp://www.misericordia.firenze.it
hxxp://www.noleggioitalia.it
hxxp://www.ocabianca.com
hxxp://www.pii-cinisello-balsamo.it
hxxp://www.rudolf-keller.it
hxxp://www.scenarionline.it
hxxp://www.tsunami-3d.com
hxxp://www.vespaclubmilano.it

working progress...

Qui sotto c'è il javascript offuscato:



e la relativa decodifica



A proposito di javascript offuscati molto interessante è questo articolo di anti-phishing.it
che prende spunto da una pubblicazione di websense

http://www.anti-phishing.it/news/articoli/news.21102005.php


Aggiornamento 28/7/07:

Nei commenti a questo post troverete moltissimi altri siti legittimi hackerati con il
javascript offuscato