sabato 28 luglio 2007

Dalla Russia con amore: analisi di un tipico attacco con pagine civetta

Prendo lo spunto da una discussione fatta poco tempo fa per mostrare quello che è un tipico attacco fatto con pagina civetta verso i computer italiani.
Ricordo che i siti web costruiti ad arte da questa gente (russi/ucraini) per infettare automaticamente il vs. pc sono dell'ordine di milioni (milioni di pagine web indicizzate da google e dagli altri motori di ricerca).

Non visitate i link mostrati in chiaro nelle immagini di questo post.


1) Iniziamo a fare la nostra solita ricerca su google di una determinata parola (ho scelto una cosa che mi ha permesso di andare a colpo sicuro)
I risultati nell'immagine non promettono nulla di buono




2) ecco mentre è visualizzata del browser




3) analizziamo il codice sorgente della pagina




4) decodifichiamo il javascript offuscato con una serie di semplici accorgimenti



5) il link in chiaro contiene a sua volta un nuovo javascript offuscato




6) nuova decodifica e nuovo link




7) la pagina del link ci mostra un'immagine porno (non l'ho censurata) per distrarci dalla minaccia



8) Nel codice c'è il seguente iframe in chiaro



9) se il browser è internet explorer si accede al link qui sotto altrimenti si viene reindirizzati al sito di google (almeno così mi è sembrato)



10) li nuovo script offuscato (questa volta non mostro la decodifica) che fa scaricare automaticamente il file roin.exe (un bel virus)



L'analisi su virustotal è abbastanza deprimente. In questo momento solo 4 antivirus riescono ad identificarlo
e sono:
  • esafe suspicious Trojan/Worm
  • f-secure W32/Horst.gen25.dropper
  • norman W32/Horst.gen25.dropper
  • panda Suspicious file
Molto utile la sandbox di norman che ci spiega cosa fa il malware




come potete vedere viene installata una falsa toolbar di google:Googlegoogletoolbar1.dll
insieme ad altra immondizia

qualcuno su castelcops aveva gia' individuato il file

http://www.castlecops.com/t195746-roin_exe_Trojan_and_fake_Google_Toolbar_installer.html

per finire diamo un'occhiata all' ip in cui è ospitato il virus
89.253.244.209 Russian Federation - Rusonyx il cui range è gia' nella mia blacklist da tempo

Su questo server ci sono anche questi altri pericolosissimi domini:

1 AMAZINGSEXMOVIE.COM
2 BESTTOPSEARCH2007.COM
3 NEWWEEKLYNEWS.COM
4 SANDRACOUNTER.COM
5 SECKEYPRO.COM

Sempre registrati da russi

Come difendersi dal rischio di infettarsi durante la navigazione?
Una delle possibili soluzioni:
account limitato + sandbox[consiglio sandboxie] + firefox (o opera)


Aggiornamento:

il file ora è riconosciuto (su mia segnalazione) da

Kaspersky: Trojan.Win32.Agent.aun
Antivir: HTML/Dldr.Ag.E.37.A
Panda: Trj/Agent.GAV

giovedì 26 luglio 2007

Lista domini hackerati su server italiano hosting solutions

Grazie all'amico edgar ed al suo tool in fase di sviluppo ho fatto alcune ricerche per controllare se ancora vi siano tracce di siti hackerati sugli hoster presi di mira qualche mese fa.
Per adesso sui server della societa' fiorentina Hosting Solutions ho trovato questi domini infetti
con un javascript offuscato:

IP:194.242.61.210

hxxp://www.24net.it
hxxp://www.affittiinsardegna.it
hxxp://www.aissa.it
hxxp://www.brosmanifatture.it
hxxp://www.caprillina.it
hxxp://www.cdm-dellamura.it
hxxp://www.chiesadicristoroma.it
hxxp://www.cmdm.it
hxxp://www.comitatomadeinitaly.it
hxxp://www.conventionplanning.it
hxxp://www.crvo.it
hxxp://www.dodibattaglia.it
hxxp://www.euroufficio.org
hxxp://www.ffuture.it
hxxp://www.fitvillage.net
hxxp://www.gierre-group.it
hxxp://www.giuditta-countryhouse.it
hxxp://www.hotelriomarina.it
hxxp://www.hotels-hostels-florence.com
hxxp://www.leonberger.it
hxxp://www.man-group.it
hxxp://www.misericordia.firenze.it
hxxp://www.noleggioitalia.it
hxxp://www.ocabianca.com
hxxp://www.pii-cinisello-balsamo.it
hxxp://www.rudolf-keller.it
hxxp://www.scenarionline.it
hxxp://www.tsunami-3d.com
hxxp://www.vespaclubmilano.it

working progress...

Qui sotto c'è il javascript offuscato:



e la relativa decodifica



A proposito di javascript offuscati molto interessante è questo articolo di anti-phishing.it
che prende spunto da una pubblicazione di websense

http://www.anti-phishing.it/news/articoli/news.21102005.php


Aggiornamento 28/7/07:

Nei commenti a questo post troverete moltissimi altri siti legittimi hackerati con il
javascript offuscato


martedì 24 luglio 2007

Facce da _ulo: intervista ad uno dei creatori di mpack

Per la serie faccia come il C... ecco un'intervista ad uno dei sviluppatori russi dell' mpack, il tool che serve ad infettare pc che ha creato tanto scompiglio in Italia.
Gli attacchi del mese scorso sono stati realizzati con questo malware.
Il sito dove veniva commercializzato ed il forum sono stati chiusi in tutta fretta visto il clamore che avevano suscitato.
Le immagini seguenti sono relative alle statistiche generate automaticamente da mpack durante un attacco.
Come vedete sono conteggiati i computer infettati con vari exploit per internet explorer, quicktime, windows 2000, firefox (vecchie versioni) , opera 7 e c'è anche una tabella riassuntiva con la percentuale di successo per paese.
La navigazione sul web come potete vedere puo' non essere molto tranquilla. Trappole e trabocchetti di tutti tipi ci aspettano.



Qui invece potete avere informazioni su questo tipo di immondizia (l'analisi è di panda software):
http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf
http://www.comunicati-stampa.net/com/cs-12652/Panda_Software_informa_sono_quasi_160_mila_i_computer_colpiti_da_Mpack


Qui sotto invece l'intervista a questo simpaticone:
http://www.securityfocus.com/news/11476

Alla fine ci consiglia:

"I would advise you to use the Opera browser with scripts and plug-ins disabled in order not to be caught by the MPack someday".

Vi consiglio di usare Opera con script e plug-in disabilitati allo scopo di non essere presi
dall'Mpack un giorno.

Direi che è un ottimo suggerimento, ma se lui non vendesse quella porcheria sarebbe meglio visto che per sua stessa ammissione ha un lavoro legale. Non credete?

giovedì 19 luglio 2007

Il sito di ufficiale di Carmen Consoli hackerato con il solito iframe

Ancora una volta la gang di CWS/gromozon alias mpack gang o potremmo definirla iframe gang,
insomma i nostri soliti amici russi/ucraini
colpisce un sito di un importante cantante italiano.Tempo fa era stato il sito di R.Vecchioni.

Il server è quello di seeweb con Ip: 217.64.199.54.




L'ip dell'iframe incriminato 81.29.241.236 invece appartiene ad un range russo malevolo ben noto e presente da mesi nella mia blacklist


Anche sul forum collegato ne parlano i fans della famosissima "cantantessa" catanese:

http://www.carmenconsoli.it/it/forum/topic.asp?TOPIC_ID=23275&FORUM_ID=17&CAT_ID=1&Topic_Title=Su+questo+sito+c'+%E8+un+virus!!&Forum_Title=A+proposito+di+Carmen+Consoli

Putroppo seeweb è uno di quegli hoster che è stato maggiormente attaccato e a quanto sembra la situazione è ancora gravissima.

Gli hoster italiani che sono stati colpiti duramente in questo ultimo periodo e che hanno subito la modifica delle pagine di tutti i siti web che ospitano, con iframe e jscript malevoli sono:

  • Hosting Solutions
  • Seeweb
  • Aruba

La situazione piu' grave riguarda i primi 2 casi visto che a distanza di 2 mesi ancora sono in questa incredibile situazione. Direi che si possono un po' definire le prede preferite di questa gang di abilissimi cybercriminali russi/ucraini.

Cerchero' di aggiornare al piu' presto il post con nuove informazioni perche' credo che anche altri siti ospitati su server seeweb (questa volta si tratta di macchine con windows e Microsoft-IIS/6.0) dovrebbero essere infetti.

working in progress.......

La decodifica del javascript offuscato contenente l'exploit (anzi una serie di exploit) stavolta è stata leggermente piu' laboriosa.

Kaspersky riconosce:

il file con gli l'exploit come Trojan-Downloader.JS.Psyme.gy
e il virus come Trojan-Clicker.Win32.Small.kj

Di quest'ultimo virus se ne era gia' parlato dettagliatamente sul sito pcalsicuro.com tempo fa
Si tratta di una creatura DialCall:

http://www.pcalsicuro.com/main/2007/01/trojanclickersmallkj-e-adsl-in-italia/


E continua l'agonia dei siti su seeweb come ad esempio

www.woodall.it (
su Ip 217.64.199.124) bonificato ed adesso infetto di nuovo con un jscript offuscato

www.muweb.it (212.25.179.97)

venerdì 13 luglio 2007

I typosquatter ci ingannano con una falsa patch per I.E. 7

I typosquatter hanno davvero una grande fantasia ed ecco una nuova trappola per ingannare gli sprovveduti navigatori del web. Una falsa patch per internet explorer 7



E dopo i falsi motori katasearch ed extraricerca
arriva hxxp://www.google-hard.com




Notare in questa pagina il contatore www.histats.com, ex www.0stats.net su cui avevo trovato un exploit bloccato da nod32)


Un altro sito da cui guardarsi, sempre della stessa cricca è:
hxxp://www.vispateresa.biz

Ci sono delle diffenze sostanziali tra i furbacchioni italiani e quelli russi/ucraini.
I primi tentano di ingannarci soprattutto con tecniche di ingegneria sociale mentre i secondi uniscono a questa abilita' anche una capacita' tecnica di programmazione notevole (exploit, rootkit, keylogger, backdoor) e mezzi a dispozione enormi e in tutto il mondo(hosting, server dns, servizi di registrazione domini)

Segnalazione siti: gmg- alfonso di punto-informatico.it

martedì 10 luglio 2007

L'hoster Seeweb ancora sotto scacco da parte della mpack gang

Faccio un post veloce per segnalare l'incredibile situazione di un altro hoster italiano, Seeweb che continua ad essere attaccato dalla gang di mpack.
Non ho molto tempo a mia disposizione per fare i necessari approfondimenti.
Per adesso bloccate questo indirizzo Ip 202.75.33.238 che si trova in malesia.
Ci saranno aggiornamenti......

Aggiornamento


La situazione apparentemente mi sembra meno grave di quanto mi aspettassi:
Molto probabilemente si tratta di un colpo di coda di un attacco che è avvenuto un mese fa.

Per quello che ho potuto osservare, da un valutazione molto molto rapida e sommaria, i siti infetti non sono molti sul server che mi era stato segnalato.

hxxp://www.franciacortaonline.it
hxxp://barbados4u.com
hxxp://www.viniquattrocchi.it
hxxp://flexso.it (ora bonificato)

E non mi sembra, ma questo prendetelo con il benificio di inventario, che l'exploit sia attivo.

la decodifica di un javascript offuscato svela un iframe che punta a questo dominio: hxxp://crunet.info il cui Ip è 203.121.73.229 sempre in malesia

Per quanto riguarda questo dominio ci sono gia' discussioni sui forum datati 7 giugno
come questa:

http://www.gemboy.it/forum/viewtopic.php?p=109968

la cui registrazione è la seguente
Registrant Name:Vladimir Kokonin
Registrant Organization:N/A
Registrant Street1:84/211 Lenina st.
Registrant Street2:
Registrant Street3:
Registrant City:Moscow
Registrant State/Province:Moskva
Registrant Postal Code:117000
Registrant Country:RU
Registrant Phone:+7.0957402221
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:Whois Privacy and Spam Prevention by DomainTools.com
Notare l'email del servizio satellite-email.com fornito dal telenor, una compagnia norvegese

Aggiornamento

Ci sono altri 2 domini che puntano a quell'ip malese.

- traffa.info
-
crunet.biz

Alla fine facendo le solite ricerche incrociate dove sono finito?
Sul solito forum di hacker russi dove le discussioni e codici che vengono scambiati o venduti sono per aggirare le protezioni antivirus ed evitare il filtro dei firewall.
Non c'è dubbio che per lavorare nel settore sicurezza con successo si dovra' imparare il cirillico.

domenica 8 luglio 2007

Italy.rin.ru, il primo progetto russo-italiano....per infettare

Come al solito mentre facevo le solite ricerche sul web attraverso google mi sono imbattuto
in questo incredibile e sfacciato sito firmato dai soliti simpaticoni russi della premiata ditta CWS/gromozon. Queste pagine sono veramente una trappola terribile per i poveri disgraziati che ci arrivano con un sistema non adeguatamente protetto.
Il sito è ospitato su server atrivo/intercage (spam, scam, ecc.). I range di Ip assegnati a questa societa' vanno evitati come la peste bubbonica perche' sono pieni di malware ed exploit di tutti i tipi.
In questo sito ci sono news e recensioni cinematografiche prese da pagine italiane.
Quindi si presenta come un collage di scopiazzature di argomenti di vario genere.



Nel codice non sono presenti iframe visibili ma solo javascript.
Andiamo a controllare il codice della pagina e troviamo questo



Ed ecco un bell'iframe che punta ad un server in russia di un notissimo blocco pieno di immondizia di tutti i tipi gia' presente da tempo nella mia blacklist.




Potrebbe gia' bastare così ma stavolta visto che si tratta di una cosa veramente "simpaticissima" e per ringraziare della cortese e maniacale attenzione che i nostri amici dedicano al nostro paese ho deciso di approfondire..

Andiamo a vedere cosa succede:
il file a3.html contiene un javascript offuscato la cui decodifica è la seguente

  • www.html
  • cms.html
  • mac.html
contengono a loro volta dei javascript offuscati:
la decodifica è esercizio abbastanza semplice e forse sara' trattata in post futuri.

  • cms è riconosciuto come exploit da Antivir, BitDefender, DrWeb, Kaspersky, Panda e Webwasher
  • www è riconosciuto come exploit da antivir, esafe, panda, etrust (JS/MS05-054!exploit), sophos e webwasher
  • mac non è riconosciuto da nessun antivirus, ma lui si preoccupa parecchio di loro infatti controlla se sono installati i seguenti prodotti:


Come potete vedere gli antivirus servono a poco.
L'unica soluzione possibile è utilizzare una sandbox (eccellente è sandboxie) sul browser oppure una misura draconiana, ovvero navigare con java e javascript disabilitati.

Ormai credo sia ovvio che questi russi/ucraini godono di appoggi in Italia.
Nei prossimi giorni cerchero' di mostrare vari esempi di pagina civetta
e come si riconosce l'immondizia di questo tipo.
E soprattutto come difendersi da questi farabutti.
Le pagine infette riconducibili a questa gang sono dell'ordine di milioni.
La cosa incredibile di questi tizi è la strafottenza e l'arroganza con cui stanno letteralmente avvelenando il web (in particolare quello italiano).
Ancora non ho capito perche' sono intoccabili ma anche Al Capone lo era.
Aspetto con molta impazienza che google rilasci greenborder. Un software che grazie al gigante Mountain View avra' una diffusione notevole e che risolvera' molti dei problemi a cui si va incontro navigando sul web in questo periodo.
Chiudo con una nota di colore: l'about di questo sito.



Se questi sono i progetti russo-italiani non c'è da stare molto allegri per il futuro

martedì 3 luglio 2007

I typosquatter ci regalano 1000 euro

Finalmente! Ci voleva proprio. Grazie ai typosquotter ho vinto ben 1000 euro :-)
N-esima pagina furba per farci scaricare ancora una volta un malware.




Il server cinese è lo stesso del post precedente Ip: 220.164.140.241