domenica 5 agosto 2007

Analisi di portali costruiti per infettare i pc italiani

Questa volta cerchero' mostrare come è costruito un sito web o meglio una specie portale che contiene qualsiasi cosa per massacrare il nostro computer e qualche volta svuotare anche il nostro portafoglio.
Immondizia simile l'avevo gia' fatta vedere tempo fa ma senza fare i giusti approfondimenti.
Vediamo a cosa andiamo incontro se navighiamo su questa spazzatura.
Per fare questo utilizzero' 3 siti esempio sempre della gang che è tanto cara a questo blog ed in particolare:

  • itpubblicazioni.net ip:89.149.221.23
  • itpubblicazioni.info ip:89.149.221.23
  • its-search.com ip:88.214.198.10

Non andate su queste pagine e se volete farlo a vostro rischio e pericolo nemmeno con Firefox visto che usano anche la recentissima vulnerabilita' firefoxurl!

Come questi ce ne saranno migliaia sempre messi su da questi simpaticoni di cui ben conosciamo abilita' e furbizia.
Vediamo cosa tentano di fare:

1)Venderci falsi antivirus o antispyware (facendoci credere con dei trucchetti di bassa lega che siamo infetti)
In inglese vengono definiti rogue AV/antispyware ed una lista piuttosto aggiornata la potete trovare qui
http://spywarewarrior.com/rogue_anti-spyware.htm

2) Pubblicizzare o vendere farmaci simil-Viagra senza principio attivo o nocivi per la salute
3) Spam di pornografia e suonerie per cellulari
4) Dirottare il browser verso determinati siti (spesso pericolossimi con truffe di tutti i tipi)
5) Infettare il nostro computer con malware in molti casi nascosti da rootkit e quindi di difficile individuazione e rimozione

Analizziamo il primo
Come potete vedere, mentre scrivevo questo post, hanno aggiunto un exploit per la recente vulnerabilita di firefox nella gestione degli URI



Nel codice sono presenti alcuni javascript malevoli:



qui si viene di indirizzati al sito del falso antispyware Systemdoctor (204.16.204.56)
Invece l' iframe con il sito rxadksqgxm.com (195.238.242.98)
punta ad un range in moldavia ben noto che contiene solo malware e virus che tentano di installarsi attraverso exploit



nell'immagine qui sopra c'è un javascript che punta ad un sito valik.biz (89.149.226.62) che contiene uno script offuscato la cui decodifica mostra i seguenti siti
adware/spyware, truffa ,con tracking cookie etc. molto probabilmente legati all'infame network COOLWEBSEARCH

hxxp://search.upspiral.com infame motore di ricerca
hxxp://www.searchfeed.com infame motore di ricerca
hxxp://cingular.ringringmobile.com
hxxp://www.Shopping.com
hxxp://www.DealTime.com
hxxp://www.MonsterMarketplace.com
hxxp://www.oxysearch.com
hxxp://www.looksearch.com
hxxp://thinklocal.com'


AGGIORNAMENTO 19/8/07

Il secondo è simile al primo quindi ne evito l'analisi





Per il terzo esempio, senza approfondire troppo, mi limito a
mostrare il codice della pagina nel quale si possono notare insidie e trabocchetti
di tutti i tipi



codice della pagina pericolosa:



e ancora



P.s.

Molti ip che ospitano fisicamente il malware in genere sono in russia e ucraina ma ultimamente ho trovato anche parecchi server malesi e di hong-kong, sempre sotto il controllo di russi, che ospitano i virus

12 commenti:

lucass ha detto...

Altri siti collegati sono:
int-maxcounter.info
promosoft24.com
searchvista.net
admedia.xmlsearch.findwhat.com
adultfriendfinder.com
systemdoctor.com
rxadksqgxm.com
mf.valik.biz
www.searchfeed.com
reliablestats.com

Vengono scaricate anche 2 malware legati al linkoptimizer, uno è quello che aggiunge la chiave imagefileexecution l'altro invece è una variante di quello che kaspersky giudicava pulito.

Ciao

Edgar Bangkok ha detto...

Aggiornato il tools con scansione in background e segnale sonoro (attivabile) di stringa testo trovata. Ora funziona ottimamente lasciandolo lavorare in background e consente di usare internet senza problemi anche quando scansiona un range.
Edgar

maverick ha detto...

@ lucass, si non ho fatto in tempo a scrivere cosa accade visitando gli altri 2 siti.

@edgar adesso lo scarico il nuovo tool

Per entrambi ottimo lavoro

maverick ha detto...

Ah promosoft24.com stava anche nel precedente post. Il server russo
Rusonyx, Ltd. fa parte di quelli che ospitano malware. http://www.reggi.ru

Sbronzo di Riace ha detto...

Sicuro che adultfriendfinder.com faccia parte del circuito?

Io quel sito l'ho sempre bloccato con adblock perché presenta pubblicità di tipo sessuale.
Leggono l'IP e ti dicono che vicino a casa tua c'è un mare di ragazze che ti aspettano. Stranamente sempre ragazze, e se davanti al monitor c'è un gay o una ragazza?

maverick ha detto...

quello è solo un accordo di natura commerciale di pubblicita' tra adultffriendfinder e questa gang.
adultfriendifinder è americana mi hanno detto mentre questi sono russi che abitano e hanno societa' negli USA

lucass ha detto...

se adultfriendfinder viene bloccato dai vari filtri e hosts files modificati, un motivo ci sarà.

Ciao

Sbronzo di Riace ha detto...

adultff viene bloccato nei file hosts o nei filtri per adblock per motivi pubblicitari. Se adesso oltre alla pubblicità si è buttato anche nel malware non lo so perchè è una vita che blocco quel dominio e non solo quel dominio. Io blocco tutto quello che non mi sconfinfera e risparmio banda :-)

lucass ha detto...

Banner e popups, che casualmente vengono aperti quando si è infetti da determinate famiglie di malware, tipo virtumonde(vundo), ciao

Sbronzo di Riace ha detto...

Quello che intendo dire è che adultff è responsabile della pubblicità porcellina che invita ad iscriversi al loro circuito di incontri calienti, non dei malware.

Pubblicità che appare nei siti dell'underground informatico (ci siamo capiti) anche nei pc che non sono infetti da nessun malware.

Io penso che questi creatori e/o installatori di malware fanno accordi commerciali con vari siti pubblicitari in modo da diversificare i proventi delle loro nefandezze.

Ovviamente i malware tendono a far apparire pubblicità porno et similia (siti di dating) in quanto tira di più la f... che un carro di buoi e quindi conviene di più.

Alla fine ricavano soldi dalla pubblicità, dai dialer, dal phishing, dallo spam, dagli attacchi DOS conto terzi.

Insomma queste bande sono imprenditori che puntano ad ottimizzare i loro investimenti.

maverick ha detto...

Se io sono di adulfriendfinder è voglio che il mio sito sia visitato il piu' possibile faccio un accordo con quelli di CWS/gromozon e viceversa ip sono di CWS/gromozon e offro a quelli di adultfriendfinder un mezzo per essere molto visibili sulla rete attraverso spam e malware

Sbronzo di Riace ha detto...

Insomma tu dici che una mano lava l'altra e tutte e due lavano la schiena?

E' evidente che in un affare tutti vogliono guadagnare qualcosa, magari chiudendo un occhio o tutte e due sulle attività poco lecite dell'altro.