lunedì 27 agosto 2007

Italianprogrammi.net : Analisi di un archivio costruito per infettare

Torno ancora una volta su un tema gia' trattato in precedenza:
I siti archivio costruiti per infettare.
Penso che meritino un approfondimento visto che ne ho trovati parecchi.
Prendiamo come esempio italianprogrammi.net che è spesso consigliato come fonte di download.
Questo sito è ospitato da intercage inc. ed è stato registrato da estdomains il che gia' è sinomino per entrambe le societa' di malware, scam, spam ecc.


Nella home page non c'è nulla di anomalo ma quando andiamo a visitare una delle pagine dell'archivio scatta la trappola. Non c'e bisogno di scaricare nulla perche' l'attacco avviene prima tramite exploit.
Interessante notare che lo script malevolo viene eseguito una sola volta, nella visita successiva non succede nulla.

Per venire colpiti mi pare sia necessario avere avere un indirizzo Ip italiano e utilizzare Internet Explorer.

Vediamo cosa succede in dettaglio.Nello screenshot c'è il momento in cui viene caricato lo script malevolo



diamo un'occhiata al codice:




[una curiosita' :l'indirizzo e il numero di telefono dell'intestatario di theadbroker.net, che è stato registrato dalla famigerata Estdomains, sono di un albergo della Sardegna. Che questi farabutti ci siano andati in vacanza?]

il sito theadbroker.net dovrebbe puntare a quest'altro dominio
sunnyvalley.info (sono entrambi ospitati dalla nota Intercage negli USA)

che contiene il seguente iframe



dove sono presenti 8 javascript offuscati malevoli



Quest'ultimo server (195.238.242.76) si trova in moldova e appartiene ad un range di Ip pericoloso gia' in blacklist da tempo.

Questa volta non faro' ulteriori analisi degli script e dei malware che vengono scaricati.

Qui sotto c'è una lista di domini assolutamente da evitare costruiti per il medesimo scopo e con lo stesso meccanismo (l'ho postata sul forum sicurezza di hwupgrade)


LISTA DOMINI:http://www.hwupgrade.it/forum/showthread.php?t=1545882

Qui invece c'è un sito un video che mostra cosa succede o succedeva (non è recentissimo) visitando il sito installare.net


http://www.youtube.com/watch?v=rlqnszS2qsk

la fonte di questo video è la società israeliana finjan

venerdì 17 agosto 2007

Ransomware: la terribile minaccia di trovarsi l'HD criptato

Prendo spunto da una serie di post sul blog di Sunbelt per trattare una nuova (ma non nuovissima) grave minaccia informatica.
Una tipologia di malware che potrebbe diventare in futuro particolarmente diffusa:
il Ransomware.
Questo tipo di software cripta i dati per permettere al cybercriminale di richiedere un riscatto (Ransom) per la decodifica.

Nello specifico se il Ransomware di cui parla Sunbelt fosse collegato alla gang di russi/ucraini di cui si occupa questo blog o comunque a persone che fanno affari con quei farabutti la cosa sarebbe davvero preoccupante.

http://sunbeltblog.blogspot.com/2007/08/new-ransomware.html
http://sunbeltblog.blogspot.com/2007/08/possible-decryptor-available-for-trojan.html
http://sunbeltblog.blogspot.com/2007/08/this-makes-it-all-worth-it.html

Invece di trovarci installato attraverso gli exploit sul browser un pur sempre pericoloso trojan-clicker e/o un dialer fino ad arrivare ad un keylogger o un infame rootkit, se venissimo colpiti da un malware di questo tipo sapremmo bene a quali catastrofi andremmo incontro.
Ben peggiori delle rotture di scatole che ha causato un virus devastante come Gromozon.

Criptare i file con algoritmi di cifratura forte significa sostanzialmente perdere tutti dati se non si ha la chiave per la decodifica.
Perchè per quanto mi riguarda di pagare non se ne parla neppure. NON SI DEVE FARLO MAI.
Anche se si tratta di 150 - 200 dollari.
Noi italiani un po' esperienza nei sequestri (di ben altra importanza) purtroppo ce la siamo fatta.


La perdita di tutti i dati contenuti nel nostro hard disk è stato sempre un avvenimento drammatico
sia che esso possa accadere per colpa di una rottura dell' hardware sia per colpa di un virus.
Per questo fare dei backup costantemente è una di quelle pratiche che mai e poi mai dovrebbero essere dimenticate.
Con la diffusione delle pendrive e dei masterizzatori DVD non dovrebbe essere cosa troppo difficile.
Dover pagare per decrittare quello che è nostro è qualcosa di particolarmente odioso per cui
visto i tempi che corrono è meglio iniziare mettere al sicuro i dati importanti.


Qui ci sono altri link che parlano dei Ransomware

http://punto-informatico.it/p.aspx?id=1307748
http://www.downloadblog.it/post/3365/ransomware-trojans-larrivo-dei-ricatti-digitali

qui un altro caso di cui parla Panda software

http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/07/17/A-new-case-of-RansomWare-_210021002100_.aspx


Nel caso di sunbelt un utente è riuscito a recuperare i dati grazie ad un tool di decodifica che la famosa societa' di sicurezza ha ricevuto da fonte anonima.In altri casi i file non erano stati codificati con l'argoritmo che sostenevano di aver usato e gli specialisti delle societa' antivirus (prevx) sono riusciti a mettere a punto un programma per sistemare il tutto, come ad esempio nel caso seguente:

http://www.pcalsicuro.com/main/2007/07/il-trojan-ti-spia-e-ti-minaccia/

Quindi prima di strapparci i capelli facciamo un giro sul web per vedere se qualcuno ci ha risolto la grana.

Ma non possiamo affidarci ne' alla efficacia degli antivirus ne' a colpi di fortuna come questi.
Una sola parola ha senso: BACKUP

Chiudo con i soliti consigli: navigate con l'account limitato + firefox + sandbox
Aggiornate il sistema operativo con windows update e i controllare gli altri software con secunia inspector.
Usate un antivirus efficace ed aggiornato e bloccate con il firewall gli Ip malevoli.

AGGIORNAMENTO 18/8/07

Ho fatto qualche ricerca sul web e le cose che ho trovato non sono proprio rassicuranti.
Per quanto riguarda il ransonware di cui parlava Sunbelt sembra che sia saltato fuori da una
installazione di iframedollars (sono russi) che usa exploit per infettare i computer. Quello che fanno questi simpaticoni è offrire un"particolare" programma di affiliazione ai webmaster, ovvero se uno mette una determinata stringa nelle proprie pagine web
loro ci pagano. Ma attenzione questo codice fa scaricare malware pericolosissimi e adesso addirittura ransomware! Fare "affari" con questi tizi significa metterersi al servizio della criminalita' organizzata tralasciando il fatto che possono tranquillamente, come è probabile, truffare anche i loro "clienti".

qui potete leggere un articolo in italiano. A differenza di quello che è riportato
mi pare che ora paghino in base al numero di pc infetti.

http://www.weekit.it/index.php?option=com_content&task=view&id=37805&Itemid=148

qui ci sono altri articoli in inglese che risalgono anche al 2005

http://www.informationweek.com/showArticle.jhtml?articleID=163701736
http://www.eweek.com/article2/0,1895,1829174,00.asp

Gli italiani sono polli da spennare particolarmente appetibili come potete vedere nello screenshot



"Condizioni del servizio" :-)



21 persone compongono questa organizzazione criminale?
Non so.....




Mi sto rendendo conto sempre di piu' che esiste tutto un mondo di criminali informatici che trama alle nostre spalle per derubarci. Sicuramente sono di tutte le nazionalita' ma i cittadini dell'est-europa ed in particolare i quelli dell'ex unione sovietica (russi, ucraini , bielorussi , lituani ecc.) sono particolarmente agguerriti per quanto riguarda le truffe verso il nostro paese.
Per capire quello che sta accadendo basta leggere "particolari" forum scritti in cirillico.
La cosa incredibile è che il tutto è fatto alla luce del sole con una sfacciataggine e una strafottenza dovuta ad un totale senso di impunita'.
Come se non bastassero quelli che abbiamo noi di farabutti. Magari proprio coloro che si nascondono dietro alla facciata di una rispettabile S.p.a.



mercoledì 8 agosto 2007

Il sito del Subsonica martellato a colpi di spam di pagine civetta

Non faccio a tempo a finire un articolo che subito devo scriverne uno successivo per parlare di un'altra tecnica molto in voga per infettare i computer. Occuparsi di certe cose è come cercare il petrolio in Arabia Saudita: appena uno fa un buco esce subito qualcosa di interessante.
Lo spunto me lo da l'enorme quantita' di spam sulla pagina dei commenti del sito dei Subsonica, il noto gruppo musicale torinese.



Vediamo soltanto alcuni link pericolosi di esempio inseriti:

hxxp://itnewarea1.cn/ (84.16.251.235)
hxxp://itnewarea2.cn/ (66.232.117.81)
hxxp://itnewarea3.cn/ (72.232.254.74)

questi 3 sono solo una specie di indice con tutti i link





Quindi come potete vedere i modi per farci arrivare su qualcosa di molto dannoso sono essenzialmente 4

1) attraverso le pagine dei risultati dei motori di ricerca
2) mediante spam sull'email
3) con spam su forum o web-board
4) attraverso hack di siti legittimi (modificati con iframe o javascripy offuscati)


Eliminate sempre dai Vs. forum e web-board lo spam di questo tipo

domenica 5 agosto 2007

Analisi di portali costruiti per infettare i pc italiani

Questa volta cerchero' mostrare come è costruito un sito web o meglio una specie portale che contiene qualsiasi cosa per massacrare il nostro computer e qualche volta svuotare anche il nostro portafoglio.
Immondizia simile l'avevo gia' fatta vedere tempo fa ma senza fare i giusti approfondimenti.
Vediamo a cosa andiamo incontro se navighiamo su questa spazzatura.
Per fare questo utilizzero' 3 siti esempio sempre della gang che è tanto cara a questo blog ed in particolare:

  • itpubblicazioni.net ip:89.149.221.23
  • itpubblicazioni.info ip:89.149.221.23
  • its-search.com ip:88.214.198.10

Non andate su queste pagine e se volete farlo a vostro rischio e pericolo nemmeno con Firefox visto che usano anche la recentissima vulnerabilita' firefoxurl!

Come questi ce ne saranno migliaia sempre messi su da questi simpaticoni di cui ben conosciamo abilita' e furbizia.
Vediamo cosa tentano di fare:

1)Venderci falsi antivirus o antispyware (facendoci credere con dei trucchetti di bassa lega che siamo infetti)
In inglese vengono definiti rogue AV/antispyware ed una lista piuttosto aggiornata la potete trovare qui
http://spywarewarrior.com/rogue_anti-spyware.htm

2) Pubblicizzare o vendere farmaci simil-Viagra senza principio attivo o nocivi per la salute
3) Spam di pornografia e suonerie per cellulari
4) Dirottare il browser verso determinati siti (spesso pericolossimi con truffe di tutti i tipi)
5) Infettare il nostro computer con malware in molti casi nascosti da rootkit e quindi di difficile individuazione e rimozione

Analizziamo il primo
Come potete vedere, mentre scrivevo questo post, hanno aggiunto un exploit per la recente vulnerabilita di firefox nella gestione degli URI



Nel codice sono presenti alcuni javascript malevoli:



qui si viene di indirizzati al sito del falso antispyware Systemdoctor (204.16.204.56)
Invece l' iframe con il sito rxadksqgxm.com (195.238.242.98)
punta ad un range in moldavia ben noto che contiene solo malware e virus che tentano di installarsi attraverso exploit



nell'immagine qui sopra c'è un javascript che punta ad un sito valik.biz (89.149.226.62) che contiene uno script offuscato la cui decodifica mostra i seguenti siti
adware/spyware, truffa ,con tracking cookie etc. molto probabilmente legati all'infame network COOLWEBSEARCH

hxxp://search.upspiral.com infame motore di ricerca
hxxp://www.searchfeed.com infame motore di ricerca
hxxp://cingular.ringringmobile.com
hxxp://www.Shopping.com
hxxp://www.DealTime.com
hxxp://www.MonsterMarketplace.com
hxxp://www.oxysearch.com
hxxp://www.looksearch.com
hxxp://thinklocal.com'


AGGIORNAMENTO 19/8/07

Il secondo è simile al primo quindi ne evito l'analisi





Per il terzo esempio, senza approfondire troppo, mi limito a
mostrare il codice della pagina nel quale si possono notare insidie e trabocchetti
di tutti i tipi



codice della pagina pericolosa:



e ancora



P.s.

Molti ip che ospitano fisicamente il malware in genere sono in russia e ucraina ma ultimamente ho trovato anche parecchi server malesi e di hong-kong, sempre sotto il controllo di russi, che ospitano i virus