insomma i nostri soliti amici russi/ucraini
colpisce un sito di un importante cantante italiano.Tempo fa era stato il sito di R.Vecchioni.
Il server è quello di seeweb con Ip: 217.64.199.54.
L'ip dell'iframe incriminato 81.29.241.236 invece appartiene ad un range russo malevolo ben noto e presente da mesi nella mia blacklist
Anche sul forum collegato ne parlano i fans della famosissima "cantantessa" catanese:
http://www.carmenconsoli.it/it/forum/topic.asp?TOPIC_ID=23275&FORUM_ID=17&CAT_ID=1&Topic_Title=Su+questo+sito+c'+%E8+un+virus!!&Forum_Title=A+proposito+di+Carmen+Consoli
Putroppo seeweb è uno di quegli hoster che è stato maggiormente attaccato e a quanto sembra la situazione è ancora gravissima.
Gli hoster italiani che sono stati colpiti duramente in questo ultimo periodo e che hanno subito la modifica delle pagine di tutti i siti web che ospitano, con iframe e jscript malevoli sono:
- Hosting Solutions
- Seeweb
- Aruba
La situazione piu' grave riguarda i primi 2 casi visto che a distanza di 2 mesi ancora sono in questa incredibile situazione. Direi che si possono un po' definire le prede preferite di questa gang di abilissimi cybercriminali russi/ucraini.
Cerchero' di aggiornare al piu' presto il post con nuove informazioni perche' credo che anche altri siti ospitati su server seeweb (questa volta si tratta di macchine con windows e Microsoft-IIS/6.0) dovrebbero essere infetti.
working in progress.......
La decodifica del javascript offuscato contenente l'exploit (anzi una serie di exploit) stavolta è stata leggermente piu' laboriosa.
Kaspersky riconosce:
il file con gli l'exploit come Trojan-Downloader.JS.Psyme.gy
e il virus come Trojan-Clicker.Win32.Small.kj
Di quest'ultimo virus se ne era gia' parlato dettagliatamente sul sito pcalsicuro.com tempo fa
Si tratta di una creatura DialCall:
http://www.pcalsicuro.com/main/2007/01/trojanclickersmallkj-e-adsl-in-italia/
E continua l'agonia dei siti su seeweb come ad esempio
www.woodall.it (su Ip 217.64.199.124) bonificato ed adesso infetto di nuovo con un jscript offuscato
www.muweb.it (212.25.179.97)
6 commenti:
Sempre all indirizzo 212.25.179.97
alcuni siti con script
"www.elkab2.it .txt "
"www.fontanadisole.it .txt "
"www.forexone.it .txt "
"www.meteomonti.com .txt "
"www.otticafava.it .txt "
"www.porfidiitalia2000.it .txt "
"www.pugliapnl.net .txt "
"www.realitytravel.it .txt "
"www.saturniamaremma.org .txt "
"www.sefinspa.com .txt "
"www.sorgentegroup.it .txt "
"www.trani-ius.it .txt "
La lista e' ottenuta con una nuova versione del tools che adesso esegue in automatico il reverse ip di un qualunque range di indirizzi ip e ne estrae i siti presenti senza utilizzare nessun sito web di reverse ip ma sfruttando una caratteristica di msn live search che puo' tra l'altro ricercare per IP e non per testo.Dato un IP msn search visualizza tutti i siti presenti per a quell'indirizzo IP.
Saluti
edgar
e continuando nella scansione in automatico
D:\webscan\htmtotxt\www.andreapagnossin.com .txt,2 KB,22/07/2007 17:27:36
D:\webscan\htmtotxt\www.areamare.com .txt,6 KB,22/07/2007 17:28:08
D:\webscan\htmtotxt\www.areamare.it .txt,6 KB,22/07/2007 17:28:18
D:\webscan\htmtotxt\www.arsweb.it .txt,2 KB,19/07/2007 22:03:01
D:\webscan\htmtotxt\www.cantinesonore.it .txt,1 KB,19/07/2007 21:40:03
D:\webscan\htmtotxt\www.cybercasa.com .txt,3 KB,19/07/2007 22:19:09
D:\webscan\htmtotxt\www.debert.it .txt,6 KB,22/07/2007 17:25:59
D:\webscan\htmtotxt\www.diveitaly.com .txt,17 KB,19/07/2007 21:44:08
D:\webscan\htmtotxt\www.esisrl.com .txt,13 KB,22/07/2007 17:19:02
D:\webscan\htmtotxt\www.formazioneulisse.it .txt,13 KB,22/07/2007 17:21:07
D:\webscan\htmtotxt\www.italian-products.it .txt,1 KB,19/07/2007 22:20:00
D:\webscan\htmtotxt\www.kalatambiente.net .txt,14 KB,22/07/2007 17:21:56
D:\webscan\htmtotxt\www.nonlavoro.net .txt,5 KB,19/07/2007 21:34:52
D:\webscan\htmtotxt\www.novachem.it .txt,10 KB,19/07/2007 21:39:47
D:\webscan\htmtotxt\www.oshocircleschool.it .txt,5 KB,19/07/2007 22:06:23
D:\webscan\htmtotxt\www.parcoappiaantica.it .txt,3 KB,19/07/2007 22:08:41
D:\webscan\htmtotxt\www.parcocapanne.it .txt,12 KB,19/07/2007 22:22:42
D:\webscan\htmtotxt\www.sotral.com .txt,2 KB,22/07/2007 17:20:01
D:\webscan\htmtotxt\www.sotral.it .txt,2 KB,22/07/2007 17:20:05
D:\webscan\htmtotxt\www.spazio10.it .txt,6 KB,22/07/2007 17:12:37
D:\webscan\htmtotxt\www.sving.it .txt,2 KB,19/07/2007 22:15:32
edgar
Sempre sul medesimo range ip siti con script...
www.lagobin.it .txt 11 KB 19/07/2007 22:23:09"
www.legnitalia-porte.it .txt 5 KB 23/07/2007 10:57:35"
www.lemorghe.it .txt 11 KB 19/07/2007 22:23:09"
www.medeacom.it .txt 26 KB 23/07/2007 10:56:16"
www.monopoli.it .txt 2 KB 19/07/2007 22:09:17"
www.motoemoto.com .txt 74 KB 23/07/2007 10:48:25"
www.museostorico.it .txt 4 KB 19/07/2007 21:40:42"
www.museostorico.tn.it .txt 4 KB 19/07/2007 21:40:42"
www.newcharter.com .txt 1 KB 19/07/2007 21:45:52"
www.newlast.com .txt 2 KB 19/07/2007 21:56:52"
www.omasoft.com .txt 2 KB 19/07/2007 22:08:22"
www.pasqualebruni.it .txt 1 KB 19/07/2007 22:12:27"
www.percossipapi.com .txt 2 KB 19/07/2007 21:49:41"
www.scsnet.it .txt 1 KB 19/07/2007 21:55:32"
www.scuolaaperta.it .txt 6 KB 23/07/2007 10:57:18"
www.seccoservice.it .txt 7 KB 19/07/2007 21:53:11"
www.sigg.it .txt 18 KB 23/07/2007 10:51:01"
www.sotral.com .txt 2 KB 23/07/2007 10:45:19"
www.sotral.it .txt 2 KB 23/07/2007 10:45:24"
www.spqrdipsociale.it .txt 18 KB 23/07/2007 10:56:42"
www.steelcomp.it .txt 11 KB 19/07/2007 22:22:56"
www.studentcard.it .txt 2 KB 23/07/2007 10:51:16"
www.teleconsulenti.it .txt 27 KB 19/07/2007 22:00:31"
www.teleinformazioni.com .txt 31 KB 19/07/2007 21:53:21"
www.termoda.com .txt 14 KB 19/07/2007 22:15:23"
www.voguecasarredo.it .txt 3 KB 19/07/2007 21:50:51"
Edgar
Bravissimo edgar.Ottimo lavoro :-)
Appena puoi mandami il nuovo tool.
Eventualmente si puo' rilasciare pubblicamente.
Appena finito, devo testare alcune cose, vedo di rilasciarlo per uso pubblico.Alcune caratteristiche:Scritto in Autoit, ricerca automatica di tutti i siti presenti su un indirizzo ip o su un range IP, uso di MSN LIVE come source di reverse IP e passaggio automatico della lista dei siti allo scanner, dimensioni del programma exe solo 237K, salvataggio dei source siti trovati, salvataggio parametri su file .INI
Edgar
Per fare prima ed evitare di intasare anche questo blog mi sono creato in due minuti un blog che ho chiamato edgar internet tools e lo trovi alla url http://edetools.blogspot.com/ e dove ho messo un commento al programma ed una schermata del nuovo tools.
Mi pare la coda piu veloce e pratica visto che con blogger in poco tempo si puo pubblicare quello che si vuole, non so ancora se si possono anche mettere dei files da uploadare ... se lo sai lascia un commento magari sull altro blog ..
ciao
Edgar
Posta un commento