lunedì 30 aprile 2007

Il sito di R.Vecchioni è ancora infetto

Sembra davvero incredibile ma perfino la pagina che ci informa che il sito ha subito un attacco informatico è infetta.


Ormai la situazione va avanti da parecchi giorni. Il server è "bucato" e ancora non sono riusciti a sistemare la vulnerabilita'.
Tutte le info sono qui
http://www.pcalsicuro.com/main/2007/04/roberto-vecchioni-vittima-della-vulnerabilita-ani/

Gli ip malevoli sono gia' nella blacklist

giovedì 26 aprile 2007

L'astuzia del team Gromozon

Faccio un post rapido per far capire la furbizia dei nostri carissimi amici "untori" del web.

Ecco un piccolo "campione" delle stranote pagine civetta

hxxp://www.photosuhop.org/gratis-programmi/programmi-dj-gratis.php
hxxp://www.circqcolo.org/programmi/programmi.php
hxxp://www.totonx59.org/parole/software-cruciverba.php

tutte queste pagine si trovano nel blocco di Isprime USA (gia' presente nella blacklist)

e visitandole il browser (anche Firefox) viene dirottato verso l'Ucraina destinazione server
NETCATHOST dove come sempre vengono ospitati malware e rootkit di ogni genere.

Ma se digitiamo nel browser soltanto il dominio come ad esempio www.photosuhop.org
otteniamo questo rassicurante messaggio




Occhio a bestfreehost.org!


Navigare su siti "sicuri"

Una news sul sito pcalsicuro
http://www.pcalsicuro.com/main/2007/04/roberto-vecchioni-vittima-della-vulnerabilita-ani/
mi da lo spunto per fare alcune rapide riflessioni.
Anche quando si accede a pagine potenzialmente sicure non si puo' stare completamente tranquilli perche' alcuni server possono essere "bucati" e il codice delle pagine web modificato.
Solo per citarne alcuni: quest'ultimo caso del sito di R.Vecchioni oppure quello ancora piu' clamoroso di Asus.
Ormai usare browser come Firefox e Opera non è piu' una scelta ma un'esigenza improcrastinabile.
C'è da dire inoltre che i siti che necessitano esclusivamente di I.E. per essere visualizzati correttamente sono sempre di meno.Ma anche questi browser non sono invulnerabili.
Per chi usa Firefox una estensione davvero ottima che aumenta il grado di sicurezza è Noscript . Ma anche qui uno potrebbe essere "fregato" dal fatto che il sito è "sicuro" e affidabile quindi permettere l'esecuzione di tutto il codice della pagina.
Allora una soluzione è utilizzare sandboxie che io trovo davvero eccellente.
Questo rende davvero difficile la vita a chi usa pagine web (che siano esse create ad arte o hack di siti puliti) per infettare.Credo che il principale mezzo di diffusione di virus non siano piu' le mail che pero' hanno ancora un discreto successo per il phishing, ma i motori di ricerca che sono abilmente sfruttati tramite tecniche di SEO.
Certo uno potrebbe evitare degli inutili guai se evitasse di finire su siti come questo qui per cercare qualche crack :-)

lunedì 23 aprile 2007

Statistiche gratis con dialer - aggiornamento

In un precedente post avevo parlato dei furbetti, in questo caso connazionali, che offrono servizi di statistiche gratis per poi rifilare ai visitatori delle pagine che hanno lo script, un bel dialer.

Avevo inserito la lista dei domini e gli Ip relativi nella blacklist ma mi sembra che questi ultimi siano cambiati.
A differenza di quello che accade con Gromozon team qui sono i domini ad essere importanti

Direi che sia il caso di inserirli nel file Host di windows:

127.0.0.1 Specialstat.com #216.12.223.146
127.0.0.1 Hiperstat.com # 216.12.223.146
127.0.0.1 freestat.ws # 216.12.223.146
127.0.0.1 webmeter.ws #216.12.207.74
127.0.0.1 superstat.info #216.12.207.76 - 216.12.207.77
127.0.0.1 freestats.ws #64.56.68.12 e qui ci sono anche
  • 2) mastergirls.topa100italia.com
  • 3) members.topa100italia.com
  • 4) mp3italia.net
  • 5) mp3italia.org
  • 6) topa100italia.com
127.0.0.1 www.statistiche.ws #216.12.207.75
127.0.0.1 megastat.net #216.12.207.74
127.0.0.1 webmobile.ws #216.12.207.75
127.0.0.1 mystat.ws #216.12.223.146
127.0.0.1 puntostat.com #216.12.207.74
127.0.0.1 schinystat.com #216.12.223.146
127.0.0.1 addfreestats.com #66.118.182.112 *non sono sicuro se sia malevolo*
Alcuni siti associati sono:

hxxp://deposito.hostance.net/dialer/, deposito.quickstaraccess.com, deposito.instantdoor.com 217.199.177.237
hxxp://www.trafficredlight.net/ 66.98.234.86
hxxp://www.easyaccesssite.com 66.98.226.25
hxxp://flat.instantdoor.com 212.39.31.11
hxxp://www.traffic-advance.net 66.98.234.86
hxxp://extra.advertising.com.bestpage-com.biz , www.page-extras.biz 207.218.211.2


da bloccare poi il range 216.12.207.67 - 216.12.207.73
dove ci sono pagine che fanno scaricare dialer



giovedì 19 aprile 2007

Ancora pagine civetta di CWS/Gromozon

Faccio un rapido post per mostrare un nuovo tipo di pagine civetta. Gromozon team si avvicina ad uno stile piu' sobrio.









L'ip è 208.70.75.153 , che ho appena inserito nella blacklist. A questo indirizzo puntano come al solito moltissimi domini (dovrebbero essere 1200 )

Le keyword studiate per il SEO (search engine optimization) sono nascoste. Interessante notare dove sono collocate queste nuove pagine:

OrgName: AirlineReservations.Com, Inc.
OrgID: AIRLIN-5
Address: 600 W. 7th
Street
Address: Suite 360 City: Los Angeles
StateProv: CA

PostalCode: 90017

Country: US

NetRange: 208.70.72.0 - 208.70.79.255

CIDR: 208.70.72.0/21
NetName: AIRLINERES-CALPOP-COM
NetHandle: NET-208-70-72-0-1

Parent: NET-208-0-0-0-0

NetType: Direct Allocation
NameServer: NS1.CALPOP.COM
NameServer: NS2.CALPOP.COM
Comment: RegDate: 2006-09-12
Updated: 2006-09-13

nel codice è presente come al solito un iframe che punta qui:

hxxp://81.29.241.231/user2/neon0089/index.php

In questo periodo i range di ip relativi a
UPL TELECOM, s.r.o. Czech Republic sono molto pericolosi

81.29.240.0 - 81.29.242.63
82.208.60.0 - 82.208.63.255
217.11.233.0 - 217.11.233.255
81.0.250.0 - 81.0.250.255

Aggiornamento: anche questo iframe
hxxp://81.29.241.237/acc2/work0089/index.php

mercoledì 18 aprile 2007

Gromozon team colpisce con Worm Skype?

C'è una interessantissima notizia pubblicata sul sito della famosa societa' antivirus F-secure

http://www.f-secure.com/weblog/archives/archive-042007.html#00001169

Molto interessante è in realtà questa lista di siti web associati al worm

hxxp://aras.lookingat.us/index.htm
hxxp://asilas.my-php.net/index.html
hxxp://bobodada.3-hosting.net/index.html
hxxp://bobos45.bebto.com/index.html
hxxp://gogo442.hatesit.com/index.html
hxxp://jackdaniels.110mb.com/index.html
hxxp://timboss.1majorhost.com/index.html
hxxp://zozole.php0h.com/index.html


Alcuni IP (195.242.99.102, 209.190.85.230) erano in gia' presenti nella mia blacklist perche' ospitavano siti civetta di CWS/Gromozon

Qui ci sono tutte le informazioni su questo virus:

Link Symantec
Link Sophos


lunedì 16 aprile 2007

Italian Search Portal by Gromozon

Per la serie "non si puo' stare mai tranquilli" ecco qui un bel "portale" tutto per l'Italia sfornato da team CWS/Gromozon. Questa nuova meraviglia del web la potete vedere qui (server UAONLINE)










ed ecco un esempio di quello che potete trovare utilizzando questo nuovo oracolo della rete:










Sembra che l'accoppiata falso antispyware - porno sia particolarmente interessante per i nostri amici. Ricorre con una certa costanza :-)
Questa news è piu' una nota di colore che altro (notare le immagini usate nei 2 siti, peccato non ci sia un piatto di spaghetti e il mandolino) , visto che gli Ip corrispondenti sono già da tempo nella blacklist.

sabato 14 aprile 2007

Codec-Virus per porno allocchi - aggiornamento

Come al solito faccio un velicissimo aggiornamento perchè un codec-virus non mi sembra al momento che venga intercettato dagli antivirus piu' famosi.












Il falso codec viene scaricato da qui

hxxp://www.amediaproject.com/download.php?id=718 (85.255.113.221)
Server INHOSTER.

Ci sono incappato attraverso il solito perverso meccanismo di reindirizzamento e strategie di ingegneria sociale. Semplificando un po':

Server UK -----> Server Ceco -----> Sever Ucraino
UK-UAONLINE---> UPL TELECOM s.r.o ----> INHOSTER

N.b. UA è la sigla dell'Ucraina

Inviato sample a KasperskyLab: ora file riconosciuto come Trojan-downloader.win32.Zlob.bqt

venerdì 13 aprile 2007

Codec-Virus per porno allocchi

Come al solito il web è sempre pieno di "sole, tarocchi, trabocchetti" ecc.
Ecco una bellissima nuova pagina civetta di CWS/Gromozon team

hxxp://vibrius.1sweethost.com/

dove sono presenti moltissimi link..
cliccando su uno qualsiasi si viene reindirizzati verso

hxxp://superpornmovies.info/movies43 Ip 81.95.149.114 (Russia)

ma non senza farci fare prima un bel giretto su un server di INHOSTER 85.255.118.122-xbox.dedi.inhoster.com (Ucraina)

Poi basta semplicemente un click su una dell'immagini della pagina per poter visualizzare il meritato video pornografico e si ottiene il seguente risultato:










Il solito trucco del virus mascherato da codec video


Attenzione che anche con firefox il download parte automaticamente
.

Disabilitate Java e Javascript se volete curiosare.

Un'ultima annotazione per chi va a "caccia":

Credo che questi siti siano da tenere sott'occhio perche' possono essere coinvolti direttamente o indirettamente con Team Gromozon anche se sembrano in apparenza puliti

jupiter.bravenet.com
www.1sweethost.com
www.hostcritique.com
www.0catch.com
www.bluehost.com
www.ossetia.com
www.designcart.com
www.simplepetcare.com
www.hostmonster.com
www.discountlaptops.com

giovedì 12 aprile 2007

Lista siti con restrizioni per I.E.

Ho ricevuto da parte di TNT una lista da importare nei siti con restrizioni per I.E.
TNT è un ricercatore italiano che lavora per un'importante societa' americana che si occupa di sicurezza e ha analizzato con molta cura il fenomeno "gromozon" oltre ad essere stato uno di quelli che ne ha compreso la reale portata e pericolosita'.
Pero' ha un gravissimo difetto: non aggiorna mai il suo blog che ha informazioni tecniche molto piu' dettagliate delle mie. :-)
Scherzi a parte, la lista si trova qui (nuovo link) e puo' essere importata con ZonedOut scaricabile da

http://www.funkytoad.com/content/view/15/33/

Poi ci sono anche altri sistemi per rendere un po' piu' sicuro I.E.
come ad esempio utilizzarlo con Sandboxie

oppure con Amust 1-Defender che pero' non ho mai usato e quindi non so lo sua efficacia

o abbassare i diritti amministrativi con DropMyRights

mercoledì 11 aprile 2007

Sul web utilizzando i Dns di Gromozon Team

Il team di Gromozon mette a disposizione i suoi server DNS :-)
come sempre localizzati in Ucraina ed ospitati dalla famigerata societa' INHOSTER.
Una autentica garanzia se si tratta di spam, scam, malware e rootkit.
Nella loro infinita' generosita' ci invitano ad utilizzare il loro pregevole servizio nel sito

hxxp://www.domainserror.com

e ci spiegano passo passo come cambiarli sia con win9x sia con win2000/xp con dettagliate screenshot. Oppure nel caso in cui fossimo pigri c'è un bell'exe pronto che fa questo lavoro :-)

hxxp://www.domainserror.com/setup.exe

Free Image Hosting at www.ImageShack.us

Da notare che sia l'ottimo Antivir sia AVG non individuano il virus.

Non vedo l'ora di cambiare i miei DNS con i loro così potro' finalmente accedere al mio c/c bancario in piena sicurezza :-)

DA EVITARE COME LA PESTE BUBBONICA

lunedì 9 aprile 2007

Il sito taiwanese di Asus infettato da un virus

C'è una notizia davvero clamorosa. Tutti credevamo che per infettarci si dovesse capitare su un sito civetta costruito ad arte ed invece puo' succedere anche se si visita pagine web che dovrebbero essere super sicure come quelle del colosso dell'informatica ASUS.

La fonte della notizia è il blog del noto "acchiappabufale" Paolo Attivissimo.

http://attivissimo.blogspot.com/2007/04/asus-infettata-dal-cursore-animato.html


Come al solito è stato aggiunto dal cracker un iframe malevolo che punta a questo indirizzo IP cinese 222.73.247.123 .
I domini che sono associati sono:

  • Ipqwe.com
  • Mumy8.com
  • Ok8vs.com
  • Okvs8.com
  • P5ip.com
  • Plmq.com
  • Y8ne.com
  • Yyc8.com
un approfondimento lo potete trovare qui

L'ip infame è gia' stato inserito nella blacklist

sabato 7 aprile 2007

Errata corrige

Mi hanno segnalato sul forum sicurezza di HWupgrade che nel
range 67.18.0.0 - 67.19.255.255 ThePlanet.com Internet Services, Inc. USA
sono presenti anche i server di bluetack.co.uk (67.18.178.4) ed alcuni per l'aggiornamento di peerguardian2.

Quindi non è possibile bloccarlo tutto. Anch' io mi sono accorto successivamente che The Planet ospita anche siti non malevoli , in questo caso addirittura utili per la sicurezza nel nostro pc , ma la grande presenza di pagine civetta mi aveva spinto per prudenza ad inserire interamente quel range nella blacklist.

Comunque lo stesso tipo di considerazione si puo' fare per quest'altro blocco di The Planet:

70.84.0.0 - 70.87.255.255
nel quale è presente ad esempio 70.86.248.122 che è OK


Mi scuso per la svista e invito i lettori di questo blog a segnalare prontamente eventuali errori futuri

martedì 3 aprile 2007

Ancora siti infetti con spazzatura

Un veloce aggiornamento per mostrare un bel sito infetto.

Free Image Hosting at www.ImageShack.us

Basta un rapidissimo sguardo al codice html per capire di chi è la mano di questo capolavoro

Free Image Hosting at www.ImageShack.us

Per quanto riguarda la blacklist presto aggiungero' altri Ip malevoli e alcuni suggerimenti
su come rendere meno vulnerabile a questo tipo di attacchi il pc di quelle persone che sanno appena la differenza tra click e doppio click.