martedì 29 maggio 2007

L'Italia terra di conquista dei predatori del web

Quando ho aperto questo blog il cui scopo era segnalare indirizzi Ip malevoli e la creazione di una blacklist principalmente anti-gang CoolWebSeach/Gromozon non avrei mai pensato di scoperchiare una sorta di vaso di Pandora. E' una situazione davvero grave. Per quello che ho potuto osservare le piu' grandi minacce vengono da una o piu' organizzazioni russe/ucraine e da furbi di casa nostra anche se il livello di sofisticazione dei malware e i mezzi a disposizione, nel secondo caso, non sono paragonabili a quelli dei nostri amici dell'est .Basta soffermarsi sull'astuzia nello sfruttare le vulnerabilita' con exploit (anche zero day), sui loro rootkit, sui loro server per far capire quanto sia abile e senza scrupoli questa gente.Che il web sia una risorsa strategica per il paese credo che ormai lo sappiano tutti ed i recenti fatti di cronaca in Estonia (uno dei paesi piu' avanzati per quanto riguarda l'informatizzazione) ci fa capire che forse è necessario fare uno sforzo in piu' per la sicurezza.
Certo è veramente irritante vedere quanti siti stranieri (ed anche nazionali) offrano dialer per il cosiddetto "italian traffic".

I prefissi sono di solito 899, 892 ,0088 per i satellitari.
Ovviamente questi furbacchioni hanno la capacita' di filtrare il traffico italiano attraverso un controllo degli IP.

Questa è una conversazione di qualche tempo fa avvenuta su un forum che mostra come si
"vende" questo tipo di "merce".In questo caso si tratta di uno di callsolutions:

http://www.videosboard.com/showthread.php?p=114802#post114802

Non so se pubblicare i siti di questi simpaticoni perche' non forrei fargli della pubblicita' gratuita.
A dire il vero questo blog non ha molte visite ma per questo problema potrei sempre rivolgermi a johnruffo.com con le sue offerte di pc zombie :-).
Se poi ci piazzo anche un bel dialer allora si che divento ricco.
Se non puoi batterli alleati con loro :-)

Ecco alcuni screenshot di siti internazionali (questi sono russi) :











Da quest'ultimo sito cito:
"Why Italy? Because it is best in dialing... Try it now"
che suona un po' come: Perchè' l'Italia? Perche' sono i piu' imbecilloni.Provare per credere :-)

working in progress
............


venerdì 25 maggio 2007

Ancora "nuove" furbate per infettare

Aggiornamento velocissimo per segnalarare l'n-esima furbata (fonte pcalsicuro.com)

http://www.pcalsicuro.com/main/2007/05/gli-avvocati-si-danno-al-typosquatting/

Falso codec, falsa toolbar , falso motore di ricerca





Gli Ip segnalati nell'articolo erano gia' da tempo nella mia blacklist

AGGIORNAMENTO 26/5/07

bloccare il domini www.extraricerca.com (niente Ip questa volta perchè ci sono altri siti validi)
e www.katasearch.com , ragazze-spiate.com ,
www.downloa-d.com



sullo stesso Ip di katasearch ci sono anche:

1) coppiettaveneta.com
2) doggyshock.com
3) gooogle.bz
4) johnruffo.com
5) playmore.biz
6) preferiti-windows.com
7) prodopixel.com
8) ricercadoppia.com
9) sessosubito.net

(anche questi da bloccare)

Interessante notare il sito johnruffo.com che gia' mi era stato segnalato tempo fa (gira che ti rigira dietro a queste cose ci sono sempre le stesse persone che usano piu' o meno le medesime modalita' per fregare la gente)

giovedì 24 maggio 2007

Vulnerabilità in Nod32 antivirus

Velocissima segnalazione di una vulnerabilità dell'antivirus Nod32 (fonte secunia)

http://secunia.com/advisories/25375/

E' consigliato un aggiornamento alla versione 2.70.39


martedì 22 maggio 2007

Aggiornamenti e consigli

Aggiorno il blog facendo semplicemente alcune riflessioni.
E' bello vedere la capacita' di reazione degli hoster italiani di fronte alle infezioni che vengono segnalate:-). Rapidita' ed efficienza sono le parole d'ordine.
La societa' italiana hostingsolutions continua a fare da untore con pagine web modificate dai soliti noti nonostante siano stati informati.





Da Tiscali , nonostante abbia segnalato lo script malevolo mostrato su un post precedente a piu' persone, nessuna risposta.


Detto questo, anche se non è lo scopo di questo spazio, suggerisco questo link di spywarewarrior dove potete trovare una lista abbastanza completa di software hips , sandbox e altri programmi di virtualizzazione che ormai stanno diventando indispensabili per proteggersi dai malware.

http://www.spywarewarrior.com/uiuc/soft5.htm

A questa lista aggiungerei alcuni programmi di cui ho sentito parlare bene ma che NON ho provato.

PowerShadow
FirstDefense-ISR.Pro

Se siete a conoscenza di altri software di valore che non sono inseriti in quella lista potete aggiungerli nei commenti.Grazie


giovedì 17 maggio 2007

Un nuovo range di Ip pericoloso

Veloce aggiornamento per mostare delle pagine di esempio infette e un nuovo blocco di Ip che credo possa essere particolarmente pericoloso

87.248.163.0 - 87.248.163.255 SC STARNET SRL Moldova



questa pagina è ospitata sul server 87.248.163.55

Interessante mostrare anche questa qui sotto



che si presenta come una pagina di errore :-)

Quest'ultima è ospitata su un blocco inserito da tempo nella mia blacklist

mercoledì 16 maggio 2007

Chi c'è dietro i dialer?

Prendo spunto dal seguente post sul sito pcalsicuro.com

http://www.pcalsicuro.com/main/2007/05/se-non-e-la-municipale-e-la-polizia/

per affrontare il tema dei dialer e dei servizi telefonici a valore aggiunto
Se qualcuno si chiede chi ci guadagna con queste cose puo' dare un'occhiata a questi 2 link

http://www.fastpath.it/dialer/operatori.html

http://www.fastpath.it/dialer/index.php

Come potrete notare nella lista ci sono anche aziende del calibro di :

BT Italia S.p.A.
DADA S.p.A.
Eutelia S.p.A.
FastWeb S.p.A.
H3G S.p.A.
Kataweb S.p.A.
Tele2 Italia S.p.A.
Telecom Italia S.p.A.
Tiscali Italia S.r.l.
Vodafone Omnitel N.V.
Wind Telecomunicazioni S.p.A.


Per tutelarsi dai rischi di bollette astronomiche (ma non dalle infezioni da dialer) si possono disabilitare gratuitamente i prefissi a tariffazione speciale come suggerito qui:

http://www.megalab.it/news.php?id=1594


lunedì 14 maggio 2007

Una pagina web su 10 è infetta da malware

Faccio una velocissima segnalazione di un interessante articolo di punto informatico.

http://punto-informatico.it/p.aspx?id=1984609&r=PI

Secondo google una pagina web su 10 è infetta da malware!

Non credo servano ulteriori commenti.

giovedì 10 maggio 2007

Un post interessante su arstechnica.com

Non ho il tempo di approfondire ma riporto un post piuttosto interessante che ho scovato
su arstechnica.com che riguarda problemi con il PHP.

http://episteme.arstechnica.com/eve/forums/a/tpc/f/469092836/m/564006954831

anche qui c' è una blacklist di Ip.




mercoledì 9 maggio 2007

Gli archivi di Gromozon

Questa notizia non è proprio freschissima:
Puo' darsi che qualcuno facendo una ricerca sui vari motori possa incappare in archivi su svariati argomenti come ad esempio ricette, cinema, musica, programmi ecc. messi a disposizione dai nostri amici di Gromozon.
Tutti questi "archivi" hanno i soliti infami exploit e sono ospitati sul server di indirizzo Ip 69.50.177.22. (gia' presente nella mia blacklist)
Ecco una mini lista di esempio:

mprogrammi.net
2farmaci.net
7farmacia.net
Aerodoc.net
in-cinema.net
infarmaci.net
ingiochi.com
itpublimidi.com
gmusica.net
iricette.net
ecc.

Ma sono molti di piu'






P.s. Per quanto riguarda il post precedente rimane ancora scandalosa la situazione della societa' italiana hostingsolutions con moltissime pagine di clienti infette!!

mercoledì 2 maggio 2007

Ancora gravissima la situazione di Hosting Solutions!!

La societa' Hosting Solutions che ospita su i suoi sever moltissimi siti web ha subito una intrusione.
I siti infetti ospitati sulle loro macchine sono tantissimi e la situazione mi pare piuttosto grave.

http://www.pcalsicuro.com/main/2007/04/possibile-intrusione-nei-sistemi-hosting-solutions/

solo sui sever 194.242.61.210 e 194.242.61.181 ce ne sono parecchi (dell'ordine delle centinaia per singolo server)

un esempio:

www.cedifmodena.it
affittiinsardegna.it
csipiemonteaosta.it
100percento.com
www.alporto.it
ecc...
e qui è presente anche il sito di R.Vecchioni.

Il blocco di Ip assegnato alla societa' italiana Hosting Solutions è questo
194.242.61.0 - 194.242.61.255
Non si tratta di pagine malevole create ad arte ma di hack di siti del tutto legittimi e quindi per questo molto piu' pericolosi.

Importantissimo bloccare i seguenti Ip

194.146.207.23
58.65.239.180
81.95.149.114
64.62.137.149
Aggiornamento
81.177.8.30
81.95.148.42

che sono presenti gia' nella mia blacklist



martedì 1 maggio 2007

Messaggi personali su forum con sorpresa

Onestamente non pensavo che un mezzo di diffusione di virus potessero essere i messaggi personali dei forum. Molto piu' facile è postare il link infetto direttamente o mandarlo con la posta.

http://forum.freeonline.it/forum/viewtopic.php?t=3097

Invece tutto fa brodo.