martedì 18 dicembre 2007
ll falso PornTube , una nuova trappola degli ucraini di inhoster
e sulle strategie di diffusione di questo malware. In genere i cybercriminali cercano di far passare il file infetto per un codec video indispensabile per la visione di un filmato pornografico.
La pagina su cui sono capitato è veramente un capolavoro di ingegneria sociale.
Un falso sito stile YouTube
I modi per cercare di ingannare gli utenti sono sempre piu' astuti.
Per quanto riguarda aggiornamenti su RBN (Russian Business network) direi che ho trovato svariati articoli online, in particolare scritti dalla stampa britannica. In UK il furto di identita' ad opera della cybercriminalita' (ed i russi di RBN sono in prima linea) è diventato un gravissimo problema e le autorita' competenti stanno tentando in tutti i modi di metterci una pezza.
Alcune informazioni sull'infame network le potete trovare qui:
http://en.wikipedia.org/wiki/Russian_Business_Network
http://www.smh.com.au/news/security/the-hunt-for-russias-web-crims/2007/12/12/1197135470386.html
Secondo alcune indiscrezioni
il creatore e leader dell'organizzazione criminale RBN conosciuto con il nick "Flyman" sembra essere un 24 enne laureato in "computer science" imparentato con un potentissimo ed autorevole uomo politico russo (alcuni dicono che sia il nipote).
Sembra che un portavoce dell'ambasciata russa in UK abbia prima negato la conoscenza di RBN
e poi abbia suggerito che la struttura ha la sua base in Inghilterra.
In realta' alcuni ricercatori specializzati in sicurezza dicono che sia una specie di mostro con piu' teste, con vari dipendenti e societa' in varie citta' europee oltre che ovviamente nella natia Russia.
Quanti in Italia sono a conoscenza di questa terribile minaccia?
giovedì 29 novembre 2007
Tutti a caccia di RBN (russian business network)
In particolare ci sono pezzi sul washington post, l'economist , il guardian.
N.B. RBN è sostanzialmente quello che io ho definito (per quelli che leggono questo blog)
l'infame gang russa/ucraina CoolWebSearch/gromozon/estdomains/intercage/inhoster/rbn ecc.
Qui sotto potete trovare uno studio molto approfondito e alcuni articoli su questi simpaticoni.
Ho cercato fare un collage per permettere di avere una visione piu' chiara di quello che sta avvenendo sul web:
http://www.bizeul.org/files/RBN_study.pdf
http://news.independent.co.uk/sci_tech/article3201842.ece
Mi sembra che in questo articolo ci sia una inesattezza si parla di panama per i server di RBN
Ma in realta' i server che dal whois risultano a panama sono fisicamente in Russia
http://www.guardian.co.uk/technology/2007/nov/15/news.crime
di questo articolo sottolineo un passaggio:
According to experts from Team Cymru, a research group specialising in internet crime, the Russian firm is linked to around 60% of all cybercrime.
secondo gli esperti di team Cymru, un gruppo di ricerca specializzato nella criminalita' su internet, l'azienda russa è collegata al 60% di tutto il cybercrime
http://www.theinquirer.net/gb/inquirer/news/2007/11/08/alleged-russian-crime-hosting
altro passaggio che vale la pena sottolineare che è un'amara riflessione:
"The Romans built these roads to access the vast areas they had conquered. But, in the end, these same roads led to Rome's downfall"
I romani (gli americani) hanno costruito queste strade (internet) per accedere alle vaste aree che hanno conquistato. Ma alla fine le stesse strade hanno condotto alla caduta di Roma (cybercriminalita')
alcuni articoli di punto informatico:
- I russi dietro il cracking di Bank of India
- Perché temere il Russian Business Network
- RBN: ma quale mafia? Noi che denunciamo tutti
- Botnet, l'improvvisa scomparsa di RBN
infine consiglio la lettura del blog
http://rbnexploit.blogspot.com/
sabato 17 novembre 2007
Un zlob al giorno toglie l'antivirus di torno
In particolare ho potuto notare la rapidità con cui vengono cambiati i malware su alcuni siti.
Non si fa a tempo a mandare un virus per l'individuazione che immediatamente dopo c'è una variante che non viene identificata.
Nello specifico alludo a virus della famiglia Zlob.
Vorrei anche segnalarvi questo blog che ne sta fecendo un bell'elenco:
http://peki.blogspot.com/
Indovinate un po' dove sono ospitati e da chi è stato registrato il dominio? :-)
Chi legge questo blog di sicuro non sara' sorpreso.
Work in progress........
Ulteriori approfondimenti per quanto riguarda il massiccio uso di siti civetta *.cn (cambia il dominio ma i farabutti sono sempre gli stessi) li potete trovare qui:
http://sunbeltblog.blogspot.com/2007/11/breaking-massive-amounts-of-malware.html
giovedì 15 novembre 2007
Kaspersky Antivirus perde efficacia?
Facciamo 2 esempi pratici con 2 nuovi malware:
Il primo é quello che alcuni AV definiscono Trojan:OSX/DNSChanger.AT o OSX/RSPlug.A
ovvero spazzatura per Apple OSX
Ho mandato il file a Kaspersky circa 15 giorni fa e ho ricevuto risposta, 24 ore dopo, che il file era infetto e sarebbe stata inserita la firma nell' aggiornamento successivo.
Stessa cosa per il file che un analista della loro societa' definisce
Trojan-Downloader.Win32.Delf.cyb
Si tratta dell'n-esimo falso codec video targato Inhoster (Ucraina) descritto in questo post
su castlecops.
http://www.castlecops.com/p1022350-Nasty_codec_iedefender.html
Attuamente nessuno dei 2 virus sono rilevati dall'AV cosa che non mi era mai capitata prima dopo che avevo ricevuto mail di conferma.
Non si capisce davvero questo ritardo nell'update delle basi che di solito è fulmineo.
Forse i problemi tra i coniugi kaspersky stanno portando ad un ridimensionamento dell'organico della societa'?
Difficile dirlo.
Aspettiamo i nuovi test per trarre qualche conclusione ma anche l'esperienza personale ha un peso determinante per la scelta di un prodotto.
La cosa che vorrei è che ci fosse finalmente una societa' AV italiana di grande livello
che possa competere con i giganti internazionali, visto che ormai molti paesi europei ne hanno una.
Questo sarebbe utilissimo nel caso in cui ci fossero attacchi mirati verso il nostro paese.
I tempi di reazione sarebbero in quel caso decisamente minori.
In questa pagina ci sono le nazionalita' delle principali societa' antivirus del mondo
http://av-tests.com/index.php?sub=viren&menue=5&lang=0
come potete vedere manca l'Italia
Aggiornamento:
i virus vengono finalmente riconosciuti da kaspersky 7 come:
Trojan.Mac.Dnscha.dmg
Trojan-Downloader.Win32.Delf.cyb
martedì 13 novembre 2007
Gli sfotto' di callsolutions
troppo :
Qui potete vedere un bel banner pubblicitario della famigerata societa' russa/ucraina (societa' non è la parola giusta, meglio dire cybercriminalita') che sta dietro al rootkit Dialcall, ovvero uno di quei malware studiati appositamente per il traffico italiano.
Callsolutions si occupa solo del nostro paese.
(meglio andarci con la sandbox abilitata non si sa mai :-) )
hxxp://docentdesign.com/banner/berlusconi.swf
Il sito dei webdesigner di callsolutions
Il sito su cui si trova il banner (registrato dalla solita ESTDOMAINS, INC.) è un server
di UAONLINE (Ucraina online) e si trova in UK. Sul range appartente a questa societa'
potete trovare moltissima spazzatura.
Forse ce lo meritiamo se questi rubagalline da 2 soldi ci prendono di mira, visto che facciamo di tutto per non tutelare gli utenti del web nel nostro paese.
sabato 10 novembre 2007
"Sondaggione semiserio"
giovedì 8 novembre 2007
Ancora sul riciclaggio di denaro sporco
http://www.anti-phishing.it/news/articoli/news0711072.php
Aveva messo a disposizione il proprio conto corrente per ricevere denaro sottratto attraverso il phishing e reinviarlo ai propri complici in Russia; adesso un 59enne residente a Frosinone è stato denunciato dalla Polizia Postale di Cremona con l’accusa di riciclaggio di denaro.
L'uomo è accusato di essersi reso complice, tra l'agosto e il settembre scorsi, di phishing, in italiano “spillaggio di dati sensibili”, un' attività truffaldina che sfrutta una tecnica di ingegneria sociale ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici.
Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc. Il 59enne, che fungeva da prestanome, era riuscito ad entrare nei conti correnti di alcuni cremonesi, adescati con messaggi “trabocchetto”, che sembravano provenire dai propri istituti di credito, racimolando una somma complessiva di 20mila euro.
L'uomo, intestatario di un conto corrente, aveva ritirato il denaro trattenendosi una percentuale e il resto lo aveva inviato in Russia ai suoi complici, rimasti per ora senza nome. Gli agenti su mandato della Procura di Repubblica di Cremona, hanno anche effettuato una perquisizione a Frosinone in casa del 59enne, trovando e mail, ricevute di prelievo e quant'altro.Il suo computer è stato sequestrato.
Vittime di questo ingegnoso raggiro, dunque, molti cremonesi che hanno perduto i propri soldi. «Le denunce» ha sottolineato la dirigente Lombardi, «sono arrivate numerose sui tavoli degli agenti della polizia postale di Cremona agli inizi di settembre di quest'anno». In un caso, in particolare, un cremonese è stato derubato di tutti i risparmi che aveva sul conto.
Ma dico io invece di farci vedere le chiappe di qualche sgallettata da 2 lire in TV perche' non informano le persone dei pericoli che si corrono sul web?
Per quanto riguarda invece il sito i-western.com mi pare che il numero di italiani che ci sta cascando cresca di giorno in giorno.
Sono gli unici che nel forum scrivono il loro indirizzo (come avevo gia' mostrato nel post precedente).
In questo momento sono almeno 10.Che tristezza.
martedì 6 novembre 2007
L'infame mondo dei programmi di affiliazione
I programmi di affiliazione che alcuni criminali informatici offrono ai webmaster di tutto il mondo.
Di cosa si tratta?
Molto semplice: questi signori pagano (o meglio dichiarano di pagare, perche' di certo sono le persone meno affidabili che esistano sul web) in base al numero di installazioni fraudolente che riescono ad ottenere.
In sostanza si tratta di inserire un loro codice nel nostro sito (in genere si tratta di un iframe o un javascript)
in maniera tale che non appena un visitatore accede viene immediatamente infettato con un malware
A quel punto il pc del malcapitato è in balia di questi criminali
che possono
- rubare dati sensibili come password per conti correnti
- e numeri di carta di credito
- utilizzare il pc per attacchi Ddos o per l'invio di spam
- dirottare la navigazione sul web
Ovviamente sanno quanti soldi possono fare (rubare) attraverso queste infezioni ed in base
a quello hanno un tariffario.
Noi italiani siamo dei polli da spennare molto appetibili (in genere siamo il traffico migliore dopo gli australiani)
Mentre facevo il solito giretto esplorativo su quella porcheria che si chiama Russian Business network utilizzato da tutti i cybercriminali del mondo sono capitato su questo bel sitarello (gia' è sparito)
da qui un link mi ha portato su una pagina che ci offre un meraviglioso elenco di farabutti.
tra questi saltano subito all'occhio i "famosi"
ZangoCash (credo americani)
IframeCash (russi)
KlikRevenue (russi)
in particolare in futuro ci occuperemo di questi ultimi.
venerdì 2 novembre 2007
Riciclaggio di denaro sporco
http://www.anti-phishing.it/news/articoli/news311007.php
Il nome della falsa società è Infinity Western, raggiungibile dagli indirizzi web i-western.com, infinityw.com e infinitywesternsite.com, la quale esattamente come i suoi predecessori coinvolgerà i malcapitati utente che chiederanno di essere “assunti” in un attività di riciclaggio di denaro sporco punibile ai sensi dell’art.648-bis con un periodo di reclusione tra i 4 e i 10 anni.
L'immagine del sito:
Ho fatto un giretto sul loro forum ed ho trovato gia' nostri connazionali che che hanno abboccato.
Vista la buona qualita' con cui e' stato scritto il testo della lettera direi che si tratta di una organizzazione di italiani e gente dell'est europa (probabilmente rumeni).
I server che ospitano i siti associati sono tutti in Romania.
Attenzione quindi a chi vi chiede di aprire un conto corrente e far transitare del denaro ricompensadovi con una percentuale.
Si tratta di RICICLAGGIO DI DENARO SPORCO (le pene sono anche piuttosto severe)
E' ovvio che questo denaro è di provenienza illecita perche'
se non fosse così una azienda non lo affiderebbe certo ad uno sconosciuto contattato tramite mail spedite a milioni di persone.
Aggiornamento:
il sito è ospitato attualmente dai seguenti server:
87.70.125.106 israele
89.139.121.5 israele
70.234.212.160 USA
77.81.209.197 romania
82.81.112.213 israele
69.230.187.254 USA
89.139.231.221 israele
ed altri italiani si aggiungono al forum (brutto segno)
Aggiornamento 2
i server ospitanti i siti continuano a variare
80.133.192.99 germany
82.78.230.222 romania
87.11.108.92 italia
89.139.173.88 israele
79.114.100.44 romania
Aggiornamento 3
I server contnuano a cambiare un meccanismo dinamico.
Questa è l' n-esima conferma che si tratta di una truffa.
lunedì 29 ottobre 2007
Exploit su una vulnerabilita' dei PDF massacreranno milioni di computer italiani?
E' noto da tempo che le versioni 8 e precedenti del famoso software di adobe, acrobat reader contengano una vulnerabilta' piuttosto seria. Ovviamente questa notizia non poteva non fare gola a molti crimininali informatici ed in particolare ai nostri carissimi amici russi di RBN.
Una notizia riportata dal seguente sito è davvero molto preoccupante e ne riporto il testo integralmente:
http://www.enews20.com/news_Russian_Hacker_Team_Responsible_for_Attacks_Using_PDF_Files_03356.html
| ||
|
Considerando il numero enorme di pc che contengono versioni di acrobat reader non aggiornate la situazione potrebbe diventare ben presto catastrofica.
Io stesso ho appena effettuato un controllo con secunia software inspector e sono risultato vulnerabile:
AGGIORNATE IMMEDIATAMENTE ACROBAT READER!
Su segnalazione di TNT cito questo interessantissimo articolo.
http://www.eweek.com/article2/0,1895,2209010,00.asp
Di questo scritto metto in evidenza un passaggio:
a group affiliated with the Gromozon Trojan and the LinkOptimizer Trojan attacks started to spread their own brand of malware using a variation on the PDF exploit, he said.Using names like "report.pdf" and "debt.2007.10.31.816537.pdf", the PDF file installs several different pieces of malware, including the Zeus variant of the PRG Trojan. It uses anti-debug/anti-VMware tactics to evade analysis and slowly downloads other files to the infected host via BITS (Background Intelligent Transfer Service), a lightweight HTTP-based protocol that is usually allowed through firewalls because it's what Microsoft Update uses, Jackson said.
The new PDF malware is communicating back to servers that are not on the Russian Business Network, but instead have addresses in Malaysia, although SecureWorks is detecting data on the malware that's in Russian.
Forse siamo alla vigilia di un nuovo devastante attacco della portata simile se non superiore a quella di gromozon/linkoptimizer da parte dei soliti noti
venerdì 26 ottobre 2007
Il paese dei balocchi per i truffatori con dialer
Sono impressionati i numeri che emergono dall’ultima operazione condotta dalla Polizia Postale che ha permesso i interrompere una maxi frode con numeri a valore aggiunto 899 compiuta esclusivamente da due persone ed in grado di fruttare ben 6 milioni di euro.
Un cittadino italiano e uno russo, sono stati denunciati all'autorita' giudiziaria della Spezia con l'accusa di aver truffato 67 mila utenti per un importo complessivo di 6 milioni di euro.
Le indagini, durate sei mesi, fa sapere una nota della polizia postale, che ha curato l'inchiesta, sono partite dalla denuncia di 74 cittadini spezzini che hanno subito una serie di truffe perpetrate attraverso la numerazione 899.
I cittadini avevano ricevuto fatture telefoniche esorbitanti per connessioni internet abusive ed occulte verso le citate numerazioni. I truffatori erano stati particolarmente abili nell'uso delle tecnologie informatiche, sfruttando la vulnerabilita' dei sistemi operativi dei computer degli utenti che a loro insaputa venivano dirottati sui numeri a pagamento.
Durante le indagini sono state effettuate perquisizioni nella sede legale di una societa' di San Marino e nell'abitazione di un cittadino di Rimini, dove si trovavano i server, che sono stati sequestrati.
I particolari dell'operazione, saranno resi noti domani mattina alle 11, (26 ottobre ndr.) durante una conferenza stampa nella sede della Polizia Postale e delle Comunicazioni della Spezia. [Tratto da AGI]
Fonte: Anti-Phishing Italia
Per contrastare queste frodi basterebbe una leggina di 3 righe, ma tutti guadagnano con questa spazzatura, ministero delle comunicazioni compreso.
mercoledì 24 ottobre 2007
Nuovi alleati anti CWS/Gromozon
http://rbnexploit.blogspot.com/
Il termine per definire i simpaticoni è RBN (Russian Business Network)
In verita' potremmo usare mille definizioni diverse ma grossomodo la gente e' sempre quella li'
Alcuni nomi della galassia che io definisco Coolwebsearch/Gromozon:
(gromozon/linkoptimizer è il nome del virus che ha causato moltissimi problemi quasi esclusivamente in Italia)
- RBN
- Estdomains
- atrivo/intercage
- cernel
- Inhoster
- NETCATHOST
- Klikrevenue
- UAONLINE
- Beyond The Network America
- Too Coin Software Limited
- Upl telecom CZ
- Pilosoft
- MEDIADAT-MOLDOVA
- DATAPOINT-NET
- RUSONYX-NET
- NETHOUSE-MOSCOW
- AKIMON-NET RBN
- LINO-NET Israele
- ecc.
http://www.malwaredomainlist.com/mdl.php
domenica 21 ottobre 2007
Falsi programmi - Rogue applications
- falsi codec video
- falsi client per bit-torrent
- falsi download manager
- falsi tool di compressione
- falsi mediaplayer
1) 3wplayer.com
2) bitdownload.org
3) bitgrabber.com
4) bitroll.com
5) c4dl.com
6) cash4downloads.com
7) cv.netpumper.com
8) download.netpumper.com
9) get-torrent.com
10) inside.3wplayer.com
11) netpumper.com
12) playon.play3w.com
13) plugindl.com
14) torrent101.com
15) torrentq.com
16) torrentsoftware.org
17) winzix.com
18) zaebb.play3w.com
19) divoplayer.com
i siti sono tutti sull'ip 69.72.144.122 mentre i file sono ospitati su 67.15.107.166.
il file viene rilevato da kaspersky 7 come Trojan.Win32.Obfuscated.en
sabato 13 ottobre 2007
Siti civetta sempre piu' ingannevoli
La societa' è UPL telecom s.r.o. e si trova in repubblica ceca. (qui ho trovato solo immondizia)
Il range si trova da tempo in blacklist pero' il numero di siti e la particolare cura che hanno messo per infettare come al solito SOLO utenti italiani merita una certa attenzione.
Ecco alcuni esempi:
acquedotto.info
adusbef.info
agenziaspazialeeuropea.info
chemioterapia.info
giochi-olimpici.info
stazionespaziale-internazionale.info
ecc.
il numero dei domini registrati dovrebbe essere dell'ordine delle migliaia e moltissimi non sono ancora attivi.
Una lista abbastanza completa l'ho postata sul forum sicurezza di hwupgrade
http://www.hwupgrade.it/forum/showthread.php?p=19127554#post19127554
come potrete vedere nelle immagini non si tratta della solita accozzaglia di keyword senza nessuna correlazione ma di sitarelli con informazioni anche utili.
Diamo un'occhiata al codice senza andare ad approfondire troppo:
sul fondo della pagina c'è il solito iframe malevolo e un "contatore".
qui c'è il seguito
Ovviamente questo punta un server che attraverso exploit tenta di farci scaricare un malware.
Le tecniche di infezione sono sempre le stesse.
AGGIORNAMENTO ore 22:30 16/10/07
all'interno del codice delle pagine hanno aggiunto
questa stringa di codice per pubblicizzare l'n-esimo falso antispyware.
sull'ip 203.121.79.55 (malesia)
ci sono anche questi altri falsi antimalware
1) secure.isoftpay.com
2) ISoftPay.Com Secure Order Page
3) ISOFTPAY.COM" gping="&POS=10&CM=WPU&CE=3&CS=AWP&SR=3&sample=0
4) magicantispy.com
5) magicantispy.com" gping="&POS=16&CM=WPU&CE=9&CS=AWP&SR=9&sample=0
6) malware-alarm.com
7) scanner.spy-shredder.com
8) scanner.xmalwarealarm.com
9) scanner.xspy-shredder.com
10) spy-shredder.com
11) spyshredder-scanner.com" gping="&POS=11&CM=WPU&CE=4&CS=AWP&SR=4&sample=0
12) winxdefender.com
ed anche
Adwareremover2007.com
Drives-cleaner.com
spy-shredder.com
ecc.
IMPORTANTE OSSERVARE L'IMMAGINE SEGUENTE
Domain Name: ISOFTPAY.COM
Registrar: ESTDOMAINS, INC.
Whois Server: whois.estdomains.com
Ci truffano addirittura utilizzando una connessione con protocollo sicuro https che solitamente
garantisce che dietro ci siano aziende affidabili . Estdomains ha ridotto il web ad un immondezzaio.
sabato 29 settembre 2007
Traffico italiano merce pregiata per i truffatori del web
Molta di questa gentaglia paga centinaia di dollari per avere dirottati sulle loro pagine trappola nostri connazionali perche' ovviamente sanno che una buona percentuale si infettera' attraverso exploit e questo consentira' loro di avere un facile guadagno.
Io stesso ho trovato molte offerte di questo tipo su svariati forum di webmaster. Ovviamente l'unico contatto era un numero di ICQ.
Per chi avesse la tentazione di mettersi in affari con queste gang sappiate che sara' la prossima vittima di qualche fregatura.
Qui potete vedere come ci siano script ad hoc solo per il traffico italiano.
versione italy:
versione noitaly:
Tutto questo è veramente irritante. Gia' la cosa è insopportabile se fatta da nostri connazionali ma adesso che il fior fiore della delinquenza informatica dell'est-europa si sia messa a rompere le scatole in questo modo è troppo.
Non appena avro' tempo mettero' dei link che mostreranno le belle facce di quelli che sono dietro ad una dell'organizzazioni piu' infami che esistono nel web. E' composta da russi.
Così uno si toglie qualche curiosita' :-)
Vi invito a leggere poi questi interessatissimi articoli
http://www.anti-phishing.it/news/articoli/news270907.php
http://www.anti-phishing.it/news/articoli/news2609072.php
Il Ministero delle Comunicazioni continua a rilasciare numerazioni 899
(ad oggi la cifra di è 140.000 numeri a valore aggiunto, ma aggiunto di che?)
Questo è lo sviluppo tecnologico e i nuovi servizi delle compagnie telefoniche:gli 899 e i numeri satellitari .... siamo davvero sull'orlo del baratro come l'argentina.
P.s. GOOD NEWS:Italianprogrammi e tutti i siti analoghi sono stati oscurati da google. Qualche giorno dopo sono spariti dal web.
martedì 11 settembre 2007
Precisazioni sulla blacklist
Mi è stato segnalato che alcuni range di ip bloccati contengono anche siti legittimi.
esempi citati:
- creativecommons.org (ThePlanet.com - 67.19.167.98)
- www.locandacinquecerri.com (Layered Technologies, Inc. -72.232.18.162)
- www.mgbrescia.it (ThePlanet.com - 70.85.249.221)
- www.michaelmoore.com (HopOne Internet Corporation - 66.36.252.57)
Questi vanno ovviamente eliminati dalla lista
Mentre per quanto riguarda
download.skype.com gli ip di questo non sono mai stati in blacklist mi pare.
E' assolutamente vero quindi ma il numero enorme di immodizia che avevo trovato mi aveva indotto ad inserire i blocchi nella lista.Me ne ero gia' accorto io stesso con gli hoster Theplanet e Everyones Internet
Non tutti range che sono nella blacklist hanno lo stesso grado di pericolosita'.
Ad esempio io preferisco impedire l'accesso alle pagine civetta ma in realta' basterebbe bloccare i server che ospitano i malware.
Se non volete utilizzare la lista full perche' temete che qualche sito importante risulti inaccessibile potete filtrarne un sottoinsieme.
Nello specifico consiglio fortemente di inserire
tutti quelli che si trovano in russia, ucraina, repubblica ceca , israele , in asia , uk e negli usa almeno atrivo/intercage, Beyond The Network America, Pilosoft , ISPrime etc.
Direi di riservare lo stesso trattamento anche ai depositi di dialer, ai falsi programmi antivirus/antispyware e ai siti di statistiche gratuite con "sorprese" sgradevoli
Le segnalazioni di questo tipo sono sempre particolarmente apprezzate
lunedì 27 agosto 2007
Italianprogrammi.net : Analisi di un archivio costruito per infettare
I siti archivio costruiti per infettare.
Penso che meritino un approfondimento visto che ne ho trovati parecchi.
Prendiamo come esempio italianprogrammi.net che è spesso consigliato come fonte di download.
Questo sito è ospitato da intercage inc. ed è stato registrato da estdomains il che gia' è sinomino per entrambe le societa' di malware, scam, spam ecc.
Nella home page non c'è nulla di anomalo ma quando andiamo a visitare una delle pagine dell'archivio scatta la trappola. Non c'e bisogno di scaricare nulla perche' l'attacco avviene prima tramite exploit.
Interessante notare che lo script malevolo viene eseguito una sola volta, nella visita successiva non succede nulla.
Per venire colpiti mi pare sia necessario avere avere un indirizzo Ip italiano e utilizzare Internet Explorer.
Vediamo cosa succede in dettaglio.Nello screenshot c'è il momento in cui viene caricato lo script malevolo
diamo un'occhiata al codice:
[una curiosita' :l'indirizzo e il numero di telefono dell'intestatario di theadbroker.net, che è stato registrato dalla famigerata Estdomains, sono di un albergo della Sardegna. Che questi farabutti ci siano andati in vacanza?]
il sito theadbroker.net dovrebbe puntare a quest'altro dominio
sunnyvalley.info (sono entrambi ospitati dalla nota Intercage negli USA)
che contiene il seguente iframe
dove sono presenti 8 javascript offuscati malevoli
Quest'ultimo server (195.238.242.76) si trova in moldova e appartiene ad un range di Ip pericoloso gia' in blacklist da tempo.
Questa volta non faro' ulteriori analisi degli script e dei malware che vengono scaricati.
Qui sotto c'è una lista di domini assolutamente da evitare costruiti per il medesimo scopo e con lo stesso meccanismo (l'ho postata sul forum sicurezza di hwupgrade)
LISTA DOMINI:http://www.hwupgrade.it/forum/showthread.php?t=1545882
Qui invece c'è un sito un video che mostra cosa succede o succedeva (non è recentissimo) visitando il sito installare.net
http://www.youtube.com/watch?v=rlqnszS2qsk
la fonte di questo video è la società israeliana finjan
venerdì 17 agosto 2007
Ransomware: la terribile minaccia di trovarsi l'HD criptato
Una tipologia di malware che potrebbe diventare in futuro particolarmente diffusa:
il Ransomware.
Questo tipo di software cripta i dati per permettere al cybercriminale di richiedere un riscatto (Ransom) per la decodifica.
Nello specifico se il Ransomware di cui parla Sunbelt fosse collegato alla gang di russi/ucraini di cui si occupa questo blog o comunque a persone che fanno affari con quei farabutti la cosa sarebbe davvero preoccupante.
http://sunbeltblog.blogspot.com/2007/08/new-ransomware.html
http://sunbeltblog.blogspot.com/2007/08/possible-decryptor-available-for-trojan.html
http://sunbeltblog.blogspot.com/2007/08/this-makes-it-all-worth-it.html
Invece di trovarci installato attraverso gli exploit sul browser un pur sempre pericoloso trojan-clicker e/o un dialer fino ad arrivare ad un keylogger o un infame rootkit, se venissimo colpiti da un malware di questo tipo sapremmo bene a quali catastrofi andremmo incontro.
Ben peggiori delle rotture di scatole che ha causato un virus devastante come Gromozon.
Criptare i file con algoritmi di cifratura forte significa sostanzialmente perdere tutti dati se non si ha la chiave per la decodifica.
Perchè per quanto mi riguarda di pagare non se ne parla neppure. NON SI DEVE FARLO MAI.
Anche se si tratta di 150 - 200 dollari.
Noi italiani un po' esperienza nei sequestri (di ben altra importanza) purtroppo ce la siamo fatta.
La perdita di tutti i dati contenuti nel nostro hard disk è stato sempre un avvenimento drammatico
sia che esso possa accadere per colpa di una rottura dell' hardware sia per colpa di un virus.
Per questo fare dei backup costantemente è una di quelle pratiche che mai e poi mai dovrebbero essere dimenticate.
Con la diffusione delle pendrive e dei masterizzatori DVD non dovrebbe essere cosa troppo difficile.
Dover pagare per decrittare quello che è nostro è qualcosa di particolarmente odioso per cui
visto i tempi che corrono è meglio iniziare mettere al sicuro i dati importanti.
Qui ci sono altri link che parlano dei Ransomware
http://punto-informatico.it/p.aspx?id=1307748
http://www.downloadblog.it/post/3365/ransomware-trojans-larrivo-dei-ricatti-digitali
qui un altro caso di cui parla Panda software
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/07/17/A-new-case-of-RansomWare-_210021002100_.aspx
Nel caso di sunbelt un utente è riuscito a recuperare i dati grazie ad un tool di decodifica che la famosa societa' di sicurezza ha ricevuto da fonte anonima.In altri casi i file non erano stati codificati con l'argoritmo che sostenevano di aver usato e gli specialisti delle societa' antivirus (prevx) sono riusciti a mettere a punto un programma per sistemare il tutto, come ad esempio nel caso seguente:
http://www.pcalsicuro.com/main/2007/07/il-trojan-ti-spia-e-ti-minaccia/
Quindi prima di strapparci i capelli facciamo un giro sul web per vedere se qualcuno ci ha risolto la grana.
Ma non possiamo affidarci ne' alla efficacia degli antivirus ne' a colpi di fortuna come questi.
Una sola parola ha senso: BACKUP
Chiudo con i soliti consigli: navigate con l'account limitato + firefox + sandbox
Aggiornate il sistema operativo con windows update e i controllare gli altri software con secunia inspector.
Usate un antivirus efficace ed aggiornato e bloccate con il firewall gli Ip malevoli.
AGGIORNAMENTO 18/8/07
Ho fatto qualche ricerca sul web e le cose che ho trovato non sono proprio rassicuranti.
Per quanto riguarda il ransonware di cui parlava Sunbelt sembra che sia saltato fuori da una
installazione di iframedollars (sono russi) che usa exploit per infettare i computer. Quello che fanno questi simpaticoni è offrire un"particolare" programma di affiliazione ai webmaster, ovvero se uno mette una determinata stringa nelle proprie pagine web
loro ci pagano. Ma attenzione questo codice fa scaricare malware pericolosissimi e adesso addirittura ransomware! Fare "affari" con questi tizi significa metterersi al servizio della criminalita' organizzata tralasciando il fatto che possono tranquillamente, come è probabile, truffare anche i loro "clienti".
qui potete leggere un articolo in italiano. A differenza di quello che è riportato
mi pare che ora paghino in base al numero di pc infetti.
http://www.weekit.it/index.php?option=com_content&task=view&id=37805&Itemid=148
qui ci sono altri articoli in inglese che risalgono anche al 2005
http://www.informationweek.com/showArticle.jhtml?articleID=163701736
http://www.eweek.com/article2/0,1895,1829174,00.asp
Gli italiani sono polli da spennare particolarmente appetibili come potete vedere nello screenshot
"Condizioni del servizio" :-)
21 persone compongono questa organizzazione criminale?
Non so.....
Mi sto rendendo conto sempre di piu' che esiste tutto un mondo di criminali informatici che trama alle nostre spalle per derubarci. Sicuramente sono di tutte le nazionalita' ma i cittadini dell'est-europa ed in particolare i quelli dell'ex unione sovietica (russi, ucraini , bielorussi , lituani ecc.) sono particolarmente agguerriti per quanto riguarda le truffe verso il nostro paese.
Per capire quello che sta accadendo basta leggere "particolari" forum scritti in cirillico.
La cosa incredibile è che il tutto è fatto alla luce del sole con una sfacciataggine e una strafottenza dovuta ad un totale senso di impunita'.
Come se non bastassero quelli che abbiamo noi di farabutti. Magari proprio coloro che si nascondono dietro alla facciata di una rispettabile S.p.a.
mercoledì 8 agosto 2007
Il sito del Subsonica martellato a colpi di spam di pagine civetta
Lo spunto me lo da l'enorme quantita' di spam sulla pagina dei commenti del sito dei Subsonica, il noto gruppo musicale torinese.
Vediamo soltanto alcuni link pericolosi di esempio inseriti:
hxxp://itnewarea1.cn/ (84.16.251.235)
hxxp://itnewarea2.cn/ (66.232.117.81)
hxxp://itnewarea3.cn/ (72.232.254.74)
questi 3 sono solo una specie di indice con tutti i link
Quindi come potete vedere i modi per farci arrivare su qualcosa di molto dannoso sono essenzialmente 4
1) attraverso le pagine dei risultati dei motori di ricerca
2) mediante spam sull'email
3) con spam su forum o web-board
4) attraverso hack di siti legittimi (modificati con iframe o javascripy offuscati)
Eliminate sempre dai Vs. forum e web-board lo spam di questo tipo
domenica 5 agosto 2007
Analisi di portali costruiti per infettare i pc italiani
Immondizia simile l'avevo gia' fatta vedere tempo fa ma senza fare i giusti approfondimenti.
Vediamo a cosa andiamo incontro se navighiamo su questa spazzatura.
Per fare questo utilizzero' 3 siti esempio sempre della gang che è tanto cara a questo blog ed in particolare:
- itpubblicazioni.net ip:89.149.221.23
- itpubblicazioni.info ip:89.149.221.23
- its-search.com ip:88.214.198.10
Non andate su queste pagine e se volete farlo a vostro rischio e pericolo nemmeno con Firefox visto che usano anche la recentissima vulnerabilita' firefoxurl!
Come questi ce ne saranno migliaia sempre messi su da questi simpaticoni di cui ben conosciamo abilita' e furbizia.
Vediamo cosa tentano di fare:
1)Venderci falsi antivirus o antispyware (facendoci credere con dei trucchetti di bassa lega che siamo infetti)
In inglese vengono definiti rogue AV/antispyware ed una lista piuttosto aggiornata la potete trovare qui
http://spywarewarrior.com/rogue_anti-spyware.htm
2) Pubblicizzare o vendere farmaci simil-Viagra senza principio attivo o nocivi per la salute
3) Spam di pornografia e suonerie per cellulari
4) Dirottare il browser verso determinati siti (spesso pericolossimi con truffe di tutti i tipi)
5) Infettare il nostro computer con malware in molti casi nascosti da rootkit e quindi di difficile individuazione e rimozione
Analizziamo il primo
Come potete vedere, mentre scrivevo questo post, hanno aggiunto un exploit per la recente vulnerabilita di firefox nella gestione degli URI
Nel codice sono presenti alcuni javascript malevoli:
qui si viene di indirizzati al sito del falso antispyware Systemdoctor (204.16.204.56)
Invece l' iframe con il sito rxadksqgxm.com (195.238.242.98)
punta ad un range in moldavia ben noto che contiene solo malware e virus che tentano di installarsi attraverso exploit
nell'immagine qui sopra c'è un javascript che punta ad un sito valik.biz (89.149.226.62) che contiene uno script offuscato la cui decodifica mostra i seguenti siti
adware/spyware, truffa ,con tracking cookie etc. molto probabilmente legati all'infame network COOLWEBSEARCH
hxxp://search.upspiral.com infame motore di ricerca
hxxp://www.searchfeed.com infame motore di ricerca
hxxp://cingular.ringringmobile.com
hxxp://www.Shopping.com
hxxp://www.DealTime.com
hxxp://www.MonsterMarketplace.com
hxxp://www.oxysearch.com
hxxp://www.looksearch.com
hxxp://thinklocal.com'
AGGIORNAMENTO 19/8/07
Il secondo è simile al primo quindi ne evito l'analisi
Per il terzo esempio, senza approfondire troppo, mi limito a
mostrare il codice della pagina nel quale si possono notare insidie e trabocchetti
di tutti i tipi
codice della pagina pericolosa:
e ancora
P.s.
Molti ip che ospitano fisicamente il malware in genere sono in russia e ucraina ma ultimamente ho trovato anche parecchi server malesi e di hong-kong, sempre sotto il controllo di russi, che ospitano i virus
sabato 28 luglio 2007
Dalla Russia con amore: analisi di un tipico attacco con pagine civetta
giovedì 26 luglio 2007
Lista domini hackerati su server italiano hosting solutions
Per adesso sui server della societa' fiorentina Hosting Solutions ho trovato questi domini infetti
con un javascript offuscato:
IP:194.242.61.210
hxxp://www.24net.it
hxxp://www.affittiinsardegna.it
hxxp://www.aissa.it
hxxp://www.brosmanifatture.it
hxxp://www.caprillina.it
hxxp://www.cdm-dellamura.it
hxxp://www.chiesadicristoroma.it
hxxp://www.cmdm.it
hxxp://www.comitatomadeinitaly.it
hxxp://www.conventionplanning.it
hxxp://www.crvo.it
hxxp://www.dodibattaglia.it
hxxp://www.euroufficio.org
hxxp://www.ffuture.it
hxxp://www.fitvillage.net
hxxp://www.gierre-group.it
hxxp://www.giuditta-countryhouse.it
hxxp://www.hotelriomarina.it
hxxp://www.hotels-hostels-florence.com
hxxp://www.leonberger.it
hxxp://www.man-group.it
hxxp://www.misericordia.firenze.it
hxxp://www.noleggioitalia.it
hxxp://www.ocabianca.com
hxxp://www.pii-cinisello-balsamo.it
hxxp://www.rudolf-keller.it
hxxp://www.scenarionline.it
hxxp://www.tsunami-3d.com
hxxp://www.vespaclubmilano.it
working progress...
Qui sotto c'è il javascript offuscato:
e la relativa decodifica
A proposito di javascript offuscati molto interessante è questo articolo di anti-phishing.it
che prende spunto da una pubblicazione di websense
http://www.anti-phishing.it/news/articoli/news.21102005.php
Aggiornamento 28/7/07:
Nei commenti a questo post troverete moltissimi altri siti legittimi hackerati con il
javascript offuscato