venerdì 13 luglio 2007

I typosquatter ci ingannano con una falsa patch per I.E. 7

I typosquatter hanno davvero una grande fantasia ed ecco una nuova trappola per ingannare gli sprovveduti navigatori del web. Una falsa patch per internet explorer 7



E dopo i falsi motori katasearch ed extraricerca
arriva hxxp://www.google-hard.com




Notare in questa pagina il contatore www.histats.com, ex www.0stats.net su cui avevo trovato un exploit bloccato da nod32)


Un altro sito da cui guardarsi, sempre della stessa cricca è:
hxxp://www.vispateresa.biz

Ci sono delle diffenze sostanziali tra i furbacchioni italiani e quelli russi/ucraini.
I primi tentano di ingannarci soprattutto con tecniche di ingegneria sociale mentre i secondi uniscono a questa abilita' anche una capacita' tecnica di programmazione notevole (exploit, rootkit, keylogger, backdoor) e mezzi a dispozione enormi e in tutto il mondo(hosting, server dns, servizi di registrazione domini)

Segnalazione siti: gmg- alfonso di punto-informatico.it

16 commenti:

Edgar Bangkok ha detto...

Ritornando sempre ai siti hostati su seeweb mi sono fatto un piccolo programma che legge in automatico le url trovate da un sito di reverse IP e esamina le pagine per ricercare eventuali iframe o indirizzi
il risultato in circa 1 minuto di run del programma e' stato questo
D:\foxweb\www.barbados4u.com.txt (10 KB, 15/07/2007 10:14:40)
D:\foxweb\www.ciclicaldaro.it.txt (15 KB, 15/07/2007 10:17:42)
D:\foxweb\www.dottcomm.ro.it.txt (3 KB, 15/07/2007 10:14:49)
D:\foxweb\www.franciacortaonline.it.txt (2 KB, 15/07/2007 10:13:56)
D:\foxweb\www.maglu.it.txt (1 KB, 15/07/2007 10:13:20)
D:\foxweb\www.meit.it.txt (2 KB, 15/07/2007 09:17:07)
D:\foxweb\www.paolomarconiarchitetto.it.txt (3 KB, 15/07/2007 09:20:07)
D:\foxweb\www.studiosgambati.it.txt (1 KB, 15/07/2007 10:13:47)
D:\foxweb\www.sunuraghe.it.txt (4 KB, 15/07/2007 10:13:57)
D:\foxweb\www.unpodisinistra.it.txt (55 KB, 15/07/2007 10:18:34)
D:\foxweb\www.viniquattrocchi.it.txt (5 KB, 15/07/2007 10:15:20)
La path d:foxweb e' perche' il progr.salva in TXT (per sicurezza)in un folder il source della home esaminata.
Tutte i siti in questione puntano a IP 202.75.33.238.Penso che se lo lascio girare per mezzora ....

saluti
Edgar from bangkok

Edgar Bangkok ha detto...

Sempre usando il programmino di cui sopra ecco una lista piu o meno completa del range 217.64.193.1 - 217.64.193.83 di siti che che hanno nella home iframe con ip che punta a 202.75.33.238

"www.aless.it
"www.aliseosistemi.com

"www.argonauti-multimedia.it
"www.arrigodegasperi.it
"www.arsmovendi.it
"www.barchessacontarini.it
"www.bermar.net
"www.brokerass.it"
"www.cadandrean.it"
"www.ciclicaldaro.it
"www.dottcomm.ro.it
"www.eurofficepeb.it
"www.maglu.it
"www.meit.it
"www.paolomarconiarchitetto.it
"www.seld.it
"www.soldinet.it
"www.studiosgambati.it
"www.sunuraghe.it"
"www.unpodisinistra.it

Sarebbe interessante scansionare anche il range 217.64.194.1 - 196.254 visto che appartine a server seeweb
Saluti
Edgar

maverick ha detto...

Ottimo! Sarebbe davvero utile se potessi metterlo sul web a disposizione di tutti. A me sarebbe utilissimo. Anch'io avevo pensato ad una cosa simile ma davvero ho troppo poco tempo ed in piu' aggiornare questo blog richiede una certa costanza. Se puoi darmi maggiori dettagli te ne sarei grato.
Almeno sapere di quale servizio di reverse ip perche' quello che ho usato io non era il massimo.

Edgar Bangkok ha detto...

Il programma non e' altro che una semplice interfaccia a WGET, scritta in visual foxpro, praticamente lancia wget e tramite un loop gli passa i siti da visitare che ricava da una lista TXT rendendola compatibile con il fornmato url di wget. Questa lista la si ottiene per copia e incolla dal sito www.seologs.com/ip-domains.html
Se il programma interessa lo rendo un po piu' presentabile, tra l altro ha anche l opzione invece che di leggere una lista di siti di leggere un range ip e poi pensa lui a passare a wget l indirizzi in sequenza.Appena aquisito il file htm poi lo ridenomina TXT e lo salva in un folder (al momento lo stesso...del programma) A questo punto avendo il sorgente dei vari siti con un semplice programma di ricerca su file testo (esempio io uso AgentRansack) si trovano tutte le occorenze di una determinata srtinga . Per creare l exe distribuirlo non ci sareebbero problemi in quanto ho il visual fox originale (dato che l ho usato per lavoro parecchio tempo) e posso creare l'eseguibile del sorgente.

Saluti
Edgar

Sbronzo di Riace ha detto...

Tutti questi malware sono impacchettati con Nsis e scompattandoli con 7-zip si ottiene una cartella C con dentro due file un exe e xcgold (file di testo).


Windows Registry Editor Version 5.00

[HKEY_USERS\#\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\5E569F488D459D57FEC005AAB5E9ACC26B4C0DF1]
"Blob"=hex:03,00,00,00,01,00,00,00,14,00,00,00,5e,56,9f,48,8d,45,9d,57,fe,c0,\
05,aa,b5,e9,ac,c2,6b,4c,0d,f1,04,00,00,00,01,00,00,00,10,00,00,00,05,23,00,\
8f,2e,9c,ba,31,46,fd,ea,d9,70,ee,f6,fd,19,00,00,00,01,00,00,00,10,00,00,00,\
67,1c,42,12,eb,81,97,9e,11,92,9b,9b,7a,04,a4,ca,14,00,00,00,01,00,00,00,14,\
00,00,00,50,d0,db,6f,a2,3c,79,0b,39,98,64,92,12,87,39,60,3d,2f,98,fa,0f,00,\
00,00,01,00,00,00,14,00,00,00,5a,39,a4,0e,6f,8d,64,69,b2,a8,f4,25,80,dc,3e,\
65,51,08,7b,9c,20,00,00,00,01,00,00,00,eb,03,00,00,30,82,03,e7,30,82,03,50,\
a0,03,02,01,02,02,10,5a,db,03,d5,2f,ae,d7,ef,e9,ec,87,70,5d,c6,af,a1,30,0d,\
06,09,2a,86,48,86,f7,0d,01,01,05,05,00,30,55,31,0b,30,09,06,03,55,04,06,13,\
02,5a,41,31,25,30,23,06,03,55,04,0a,13,1c,54,68,61,77,74,65,20,43,6f,6e,73,\
75,6c,74,69,6e,67,20,28,50,74,79,29,20,4c,74,64,2e,31,1f,30,1d,06,03,55,04,\
03,13,16,54,68,61,77,74,65,20,43,6f,64,65,20,53,69,67,6e,69,6e,67,20,43,41,\
30,1e,17,0d,30,36,31,30,31,37,30,30,30,30,30,30,5a,17,0d,30,38,31,30,31,36,\
32,33,35,39,35,39,5a,30,81,af,31,0b,30,09,06,03,55,04,06,13,02,55,4b,31,0f,\
30,0d,06,03,55,04,08,13,06,4c,4f,4e,4f,44,4e,31,0f,30,0d,06,03,55,04,07,13,\
06,4c,4f,4e,44,4f,4e,31,28,30,26,06,03,55,04,0a,13,1f,47,45,4e,55,49,4e,45,\
20,53,4f,46,54,57,41,52,45,20,55,50,44,41,54,45,20,4c,49,4d,49,54,45,44,31,\
2a,30,28,06,03,55,04,0b,13,21,53,76,69,6c,75,70,70,6f,20,73,69,63,75,72,6f,\
20,64,65,6c,6c,27,61,70,70,6c,69,63,61,7a,69,6f,6e,65,31,28,30,26,06,03,55,\
04,03,13,1f,47,45,4e,55,49,4e,45,20,53,4f,46,54,57,41,52,45,20,55,50,44,41,\
54,45,20,4c,49,4d,49,54,45,44,30,82,01,22,30,0d,06,09,2a,86,48,86,f7,0d,01,\
01,01,05,00,03,82,01,0f,00,30,82,01,0a,02,82,01,01,00,c8,89,b3,e2,d2,dc,51,\
b6,e3,79,f5,16,c5,c7,bf,6a,d9,f5,36,31,93,76,32,52,b5,28,0c,9b,12,3a,ad,90,\
9c,ee,4e,76,cd,7c,27,0f,92,bb,5b,d3,fe,30,16,a5,26,56,17,f1,72,f3,63,06,35,\
aa,ff,19,64,60,54,ee,fc,d4,46,2f,8f,88,e7,38,d7,49,4f,2a,f6,cf,1a,ea,28,7a,\
4f,d6,9a,29,ff,d5,56,62,c9,dc,46,18,50,b1,ab,57,0b,9f,c8,2b,98,f7,cc,91,f0,\
72,a4,20,70,e3,f3,f0,6a,7a,19,76,cf,f7,19,be,e7,b8,24,0d,f2,7a,2e,7e,15,a0,\
8e,40,01,27,4c,c6,36,77,a2,fd,cd,ab,5b,c4,ff,55,04,21,41,86,b0,26,7d,31,e5,\
d2,d1,8e,cd,c9,8c,c3,bc,8c,28,a9,39,56,16,2e,9c,47,34,40,a4,26,52,21,1a,9f,\
dc,5f,c1,59,9d,c4,e9,31,0d,3a,dc,c9,9a,9a,5b,ff,66,9e,f4,e2,d3,9e,6a,a5,26,\
d5,a9,33,35,cb,9f,7a,4a,a6,96,59,87,8d,1f,a5,12,d7,87,7c,17,f4,c1,44,6f,d6,\
67,78,6a,85,33,59,03,f7,97,03,a4,bc,33,b4,e6,5c,ad,32,95,3d,7a,87,47,4b,02,\
03,01,00,01,a3,81,d8,30,81,d5,30,0c,06,03,55,1d,13,01,01,ff,04,02,30,00,30,\
3e,06,03,55,1d,1f,04,37,30,35,30,33,a0,31,a0,2f,86,2d,68,74,74,70,3a,2f,2f,\
63,72,6c,2e,74,68,61,77,74,65,2e,63,6f,6d,2f,54,68,61,77,74,65,43,6f,64,65,\
53,69,67,6e,69,6e,67,43,41,2e,63,72,6c,30,1f,06,03,55,1d,25,04,18,30,16,06,\
08,2b,06,01,05,05,07,03,03,06,0a,2b,06,01,04,01,82,37,02,01,16,30,1d,06,03,\
55,1d,04,04,16,30,14,30,0e,30,0c,06,0a,2b,06,01,04,01,82,37,02,01,16,03,02,\
07,80,30,32,06,08,2b,06,01,05,05,07,01,01,04,26,30,24,30,22,06,08,2b,06,01,\
05,05,07,30,01,86,16,68,74,74,70,3a,2f,2f,6f,63,73,70,2e,74,68,61,77,74,65,\
2e,63,6f,6d,30,11,06,09,60,86,48,01,86,f8,42,01,01,04,04,03,02,04,10,30,0d,\
06,09,2a,86,48,86,f7,0d,01,01,05,05,00,03,81,81,00,31,9e,4f,32,50,9c,b3,99,\
fd,66,9c,19,9a,f9,cf,31,45,e9,07,ec,92,d7,f8,67,49,6e,5a,98,51,e6,7e,80,34,\
eb,21,1c,13,9b,28,4d,0b,a2,d3,fa,f1,46,de,b7,64,c9,7e,37,f9,0b,e0,fa,22,ac,\
1f,0d,d1,8f,af,f9,18,24,96,d6,9a,39,e9,52,16,b5,ce,90,bd,1a,71,dd,ed,b7,92,\
ed,e2,2f,63,ac,bb,08,e6,49,1f,61,15,1d,84,7d,de,6d,80,b4,d6,7e,21,49,d6,53,\
0c,f5,85,43,75,45,eb,60,03,9d,b9,fc,90,0e,c7,99,56,dc,86,2e

Edgar Bangkok ha detto...

Una precisazione.
Nel caso a cui mi riferivo io (programma compreso) non si tratta di malware inteso come file a se stante , zippato , criptato ecc, Qui stiamo parlando, mi pare, solo di semplice pagina di puro codice html che contiene , sempre nel codice, una istruzione iframe e uno script o piu' script (non in chiaro) che puntano a sito con malware...
Che poi il malware sia compresso in formato zip compatibile o altro credo che comunque venga fatto anche per aumentare la difficolta di rilevamento da parte di un progr.antivirus.
Saluti
edgar

maverick ha detto...

Edgar, sbronzo credo si riferisse ai malware dei typosquatter italiani, mentre tu stai parlando degli iframe e javascript nella pagine dell'attacco a seeweb fatto dai russi.

maverick ha detto...

Edagar il tuo programma è molto utile. Il servizo di reverse IP è lo stesso che ho usato io per trovare i siti. Quello fornito da domaintools è migliore ma purtroppo è a pagamento

Edgar Bangkok ha detto...
Questo commento è stato eliminato dall'autore.
Edgar Bangkok ha detto...

io conosco anche

http://www.domainsdb.net/ che pero' limita a 500 risultati per ip e mi pare non visualizzi i siti con .IT

http://www.myipneighbors.com/ che mi pare non abbia limitazioni.

Edgar

Edgar Bangkok ha detto...

Il programma e piu o meno funzionante come exe compilato e con una minima interfaccia grafica.
Carica un file testo creato dal copia e incolla sia del sito http://www.myipneighbors.com/ oppure dal sito http://www.seologs.com/ip-domains.html
senza bisogno di configurare niente.
Ho zippato il tutto insieme alle librerie dll che servono per farlo funzionare anche se non sono sicuro che ci siano tutte , le dll, in quanto su questo pc chiaramente funziona perche' se le trova lui dove vuole.
Si tratta di provare.
Saluti EDGAR

maverick ha detto...

speriamo che funzioni per tutti. Secondo me è molto utile. In pochissimo tempo possiamo avere un elenco di siti che sono infettati con una determinata stringa.

Edgar Bangkok ha detto...

Se mi dici come te lo posso inviare... mail o cosa...... oppure quando sei online attivo un server web temporaneo e te lo scarichi da li.... dimmi te'
DAto che e' un test non vorrei spargerlo in rete prima di capire se funziona.. se poi va bene si possono aggiungere molte opzioni penso ad esempio trovare il modo di scaricare direttamente la lista dei siti senza fare copia e incolla su file testo ma direttamente (come fanno esempio i programmi che si connettono a piu siti e scaricano i testi delle canzoni direttamente dalla pagina senza neanche visualizzarla ecc ecc..)oppure in automatico creare un database con i links ai sito e periodicamente verificarli per vedere se cambia qualcosa, Tra laltro una cosa strana... quando creo i files txt del sorgente dei siti vedo come data del file una data non attuale ma anche di un anno fa ...penso che sia la data dell ultima modifica al sito o della sua creazione.... se e' cosi sarebbe utile per capire se il sito e recentemente aggiornato o magari no ....
Ciao
Edgar

Unknown ha detto...
Questo commento è stato eliminato dall'autore.
maverick ha detto...

Ciao edgar. Appena creo un account di posta apposito lo post. Altrimenti qui mi massacrano con lo spam :-).
Poi ci sentiamo eventualemente anche con altri mezzi.

maverick ha detto...

Edgar, Scrivimi qui
etylhob02 (AT) sneakemail.com