sabato 13 ottobre 2007

Siti civetta sempre piu' ingannevoli

Prendo spunto da una segnalazione che aveva fatto tempo fa GmG per mostrare una serie di siti particolamente ingannevoli ospitati da un altro dei famigerati hoster dell'allegra compagnia di infamoni russi di cui si occupa questo sito.
La societa' è UPL telecom s.r.o. e si trova in repubblica ceca. (qui ho trovato solo immondizia)
Il range si trova da tempo in blacklist pero' il numero di siti e la particolare cura che hanno messo per infettare come al solito SOLO utenti italiani merita una certa attenzione.

Ecco alcuni esempi:

acquedotto.info
adusbef.info
agenziaspazialeeuropea.info
chemioterapia.info
giochi-olimpici.info
stazionespaziale-internazionale.info
ecc.






il numero dei domini registrati dovrebbe essere dell'ordine delle migliaia e moltissimi non sono ancora attivi.

Una lista abbastanza completa l'ho postata sul forum sicurezza di hwupgrade

http://www.hwupgrade.it/forum/showthread.php?p=19127554#post19127554


come potrete vedere nelle immagini non si tratta della solita accozzaglia di keyword senza nessuna correlazione ma di sitarelli con informazioni anche utili.

Diamo un'occhiata al codice senza andare ad approfondire troppo:
sul fondo della pagina c'è il solito iframe malevolo e un "contatore".



qui c'è il seguito



Ovviamente questo punta un server che attraverso exploit tenta di farci scaricare un malware.

Le tecniche di infezione sono sempre le stesse.


AGGIORNAMENTO ore 22:30 16/10/07


all'interno del codice delle pagine hanno aggiunto



questa stringa di codice per pubblicizzare l'n-esimo falso antispyware.




sull'ip 203.121.79.55 (malesia)

ci sono anche questi altri falsi antimalware

1) secure.isoftpay.com
2) ISoftPay.Com Secure Order Page
3) ISOFTPAY.COM" gping="&POS=10&CM=WPU&CE=3&CS=AWP&SR=3&sample=0
4) magicantispy.com
5) magicantispy.com" gping="&POS=16&CM=WPU&CE=9&CS=AWP&SR=9&sample=0
6) malware-alarm.com
7) scanner.spy-shredder.com
8) scanner.xmalwarealarm.com
9) scanner.xspy-shredder.com
10) spy-shredder.com
11) spyshredder-scanner.com" gping="&POS=11&CM=WPU&CE=4&CS=AWP&SR=4&sample=0
12) winxdefender.com


ed anche

Adwareremover2007.com
Drives-cleaner.com
spy-shredder.com
ecc.

IMPORTANTE OSSERVARE L'IMMAGINE SEGUENTE





Domain Name: ISOFTPAY.COM

Registrar: ESTDOMAINS, INC.
Whois Server: whois.estdomains.com

Ci truffano addirittura utilizzando una connessione con protocollo sicuro https che solitamente
garantisce che dietro ci siano aziende affidabili . Estdomains ha ridotto il web ad un immondezzaio.

4 commenti:

TNT ha detto...

Maverick, hai dato un'occhiata al whois di domainsdb.net?
http://whois.domaintools.com/domainsdb.net

Guarda il Registrar. Fai attenzione specialmente poi a bannedhost.net the c'e' nella mail di registrazione:

http://www.google.com/search?hl=en&q=%22bannedhost+net%22

Guarda un po' i risultati in Google.

Secondo me questo servizio non va assolutamente usato.

maverick ha detto...

Incredibile. Da quello che sembrebbe
domainsdb.net, che è un servizio che qualche volta ho usato anch'io, fa farte del network di CWS!


bannedhost.net sta su webzilla (che fa parte del network CWS) ed è registato da
hxxp://www.named1.com s.r.o.

che a sua volta sta sul ben noto

Upl Telecom S.r.o Czech Republic

HostExploit ha detto...

Hi Fellow RBN hunter,

We should collaborate - exchange links

see http://rbnexploit.blogspot.com

We are just finishing new RBN blacklist, we should merge

contact = rbnexploit@gmail.com

Edgar Bangkok ha detto...

A propositi di siti quantomeno strani mi date un giudizio su questa interminabile serie di siti .it hostata su 67.19.17.117
Sono li' solo per usi futuri o c'e' sotto qualcosa di altro.
Il whois punta a ThePlanet.com Internet Services, Inc.
City: Dallas

Saluti
edgar