La societa' è UPL telecom s.r.o. e si trova in repubblica ceca. (qui ho trovato solo immondizia)
Il range si trova da tempo in blacklist pero' il numero di siti e la particolare cura che hanno messo per infettare come al solito SOLO utenti italiani merita una certa attenzione.
Ecco alcuni esempi:
acquedotto.info
adusbef.info
agenziaspazialeeuropea.info
chemioterapia.info
giochi-olimpici.info
stazionespaziale-internazionale.info
ecc.
il numero dei domini registrati dovrebbe essere dell'ordine delle migliaia e moltissimi non sono ancora attivi.
Una lista abbastanza completa l'ho postata sul forum sicurezza di hwupgrade
http://www.hwupgrade.it/forum/showthread.php?p=19127554#post19127554
come potrete vedere nelle immagini non si tratta della solita accozzaglia di keyword senza nessuna correlazione ma di sitarelli con informazioni anche utili.
Diamo un'occhiata al codice senza andare ad approfondire troppo:
sul fondo della pagina c'è il solito iframe malevolo e un "contatore".
qui c'è il seguito
Ovviamente questo punta un server che attraverso exploit tenta di farci scaricare un malware.
Le tecniche di infezione sono sempre le stesse.
AGGIORNAMENTO ore 22:30 16/10/07
all'interno del codice delle pagine hanno aggiunto
questa stringa di codice per pubblicizzare l'n-esimo falso antispyware.
sull'ip 203.121.79.55 (malesia)
ci sono anche questi altri falsi antimalware
1) secure.isoftpay.com
2) ISoftPay.Com Secure Order Page
3) ISOFTPAY.COM" gping="&POS=10&CM=WPU&CE=3&CS=AWP&SR=3&sample=0
4) magicantispy.com
5) magicantispy.com" gping="&POS=16&CM=WPU&CE=9&CS=AWP&SR=9&sample=0
6) malware-alarm.com
7) scanner.spy-shredder.com
8) scanner.xmalwarealarm.com
9) scanner.xspy-shredder.com
10) spy-shredder.com
11) spyshredder-scanner.com" gping="&POS=11&CM=WPU&CE=4&CS=AWP&SR=4&sample=0
12) winxdefender.com
ed anche
Adwareremover2007.com
Drives-cleaner.com
spy-shredder.com
ecc.
IMPORTANTE OSSERVARE L'IMMAGINE SEGUENTE
Domain Name: ISOFTPAY.COM
Registrar: ESTDOMAINS, INC.
Whois Server: whois.estdomains.com
Ci truffano addirittura utilizzando una connessione con protocollo sicuro https che solitamente
garantisce che dietro ci siano aziende affidabili . Estdomains ha ridotto il web ad un immondezzaio.
4 commenti:
Maverick, hai dato un'occhiata al whois di domainsdb.net?
http://whois.domaintools.com/domainsdb.net
Guarda il Registrar. Fai attenzione specialmente poi a bannedhost.net the c'e' nella mail di registrazione:
http://www.google.com/search?hl=en&q=%22bannedhost+net%22
Guarda un po' i risultati in Google.
Secondo me questo servizio non va assolutamente usato.
Incredibile. Da quello che sembrebbe
domainsdb.net, che è un servizio che qualche volta ho usato anch'io, fa farte del network di CWS!
bannedhost.net sta su webzilla (che fa parte del network CWS) ed è registato da
hxxp://www.named1.com s.r.o.
che a sua volta sta sul ben noto
Upl Telecom S.r.o Czech Republic
Hi Fellow RBN hunter,
We should collaborate - exchange links
see http://rbnexploit.blogspot.com
We are just finishing new RBN blacklist, we should merge
contact = rbnexploit@gmail.com
A propositi di siti quantomeno strani mi date un giudizio su questa interminabile serie di siti .it hostata su 67.19.17.117
Sono li' solo per usi futuri o c'e' sotto qualcosa di altro.
Il whois punta a ThePlanet.com Internet Services, Inc.
City: Dallas
Saluti
edgar
Posta un commento