venerdì 22 febbraio 2008

Le superpotenze del malware: Russia al primo posto

Secondo un interessantissimo articolo su cnet news , la Russia sarebbe balzata al primo posto nella produzione di malware.
la Fonte di tale notizia è PC Tools, una nota azienda che opera nel settore della sicurezza (SpywareDoctor , ThreatFire ecc.)

http://www.news.com/8301-13860_3-9875663-56.html?tag=nefd.top



http://www.threatexpert.com/map.aspx

La notizia non fa che confermare la tendenza che si era manifestata negli ultimi 2 anni e che io stesso avevo potuto osservare.


Interessante notare che la somma dei malware di russia, ucraina e cina sia il 60% di tutta la produzione mondiale.

Un'ultima nota di attenzione la merita la parte sull'infame RBN (russian business network) . Pctools sostiene che l'attiva' dei criminali russi si sarebbe spostata su server in Malesia, Cina, Panama, Singapore, Thailandia, Turchia e India.

mercoledì 20 febbraio 2008

La pacchia finisce il 30/6/08 "L'Authority: dal 30 giugno telefonate «a rischio» solo su esplicita richiesta"

Una data storica che finalmente segnera' , si spera , la fine di un'epoca fatta di inganni e truffe ai danni degli utenti della telefonia fissa e di internet.

Il garante stabilisce il blocco dei numeri di telefono a tariffazione speciale (satellitari e 199, 899, 892, 178) per chi non li richiede per iscritto. Servirà un "pin" .

Per saperne di piu':

http://www.corriere.it/economia/08_febbraio_19/blocco_numerazioni_a_rischio_0e332974-df0e-11dc-9d37-0003ba99c667.shtml

Era ora.

AGGIORNAMENTO (dal messaggero di Roma)

http://www.ilmessaggero.it/articolo.php?id=19144&sez=HOME_NOSTRISOLDI

Tre tappe per arrivare al blocco. Dalla prossima estate, per effettuare una telefonata a numeri satellitari per servizi interattivi a sovrapprezzo, sarà necessario un "pin" appositamente richiesto. Senza il codice, le chiamate saranno automaticamente bloccate. Questa, in sostanza, la strada presa dall'Autorità «per contrastare radicalmente i fenomeni fraudolenti». Tre i passaggi per arrivare al blocco per tutti gli utenti:

dal 31 marzo il blocco dovrà essere reso disponibile sul mercato da tutti gli operatori, gratuitamente;

fino al 30 maggio gli utenti avranno il tempo di decidere se utilizzare le numerazioni a sovrapprezzo, richiedendolo espressamente all'operatore, oppure potranno immediatamente chiedere di essere bloccati;

dal 30 giugno, infine, per tutti coloro che non si saranno attivati, il blocco diventerà automatico, in base al meccanismo del silenzio-assenso.

Nuove tutele in arrivo. «La linea scelta dall'Autorità - si legge ancora nella nota - è quella della massima tutela dell'utenza, anche nelle sue fasce più deboli e meno attente. Con il blocco per default, infatti, solo coloro che effettivamente vorranno utilizzare le numerazioni a sovrapprezzo si vedranno fatturare i relativi addebiti». A questa nuova forma di tutela, tra l'altro, si aggiungerà, a breve, un'altra misura per il controllo della spesa: si tratta dei nuovi "tetti massimi" di costo per tutte le numerazioni, che entreranno in vigore con l'approvazione del nuovo piano di numerazione, ormai in dirittura d'arrivo».

sabato 16 febbraio 2008

E' finita la pacchia? "L'Antitrust blocca il distacco di linee Telecom"

Per la serie Good News vi invito a leggere questo interessante articolo sul corriere della sera.

http://www.corriere.it/cronache/08_febbraio_16/telecom_distacchi_telefonici_f495cffa-dc9f-11dc-8a42-0003ba99c667.shtml


notare le aziende coinvolte nelle ispezioni:

ISTRUTTORIA - L'istruttoria è stata aperta nei confronti di Elsacom, che è una società controllata da Finmeccanica, a sua volta di proprietà statale, e di altre sette società per accertare eventuali «pratiche commerciali scorrette nei confronti di centinaia di consumatori»: sono «coinvolte Globastar Europe, Csinfo, Eutelia, Karupa, 10993 srl, Teleunit e Voiceplus». Ci sono già state ispezioni in tutta Italia in collaborazione con la Guardia di Finanza.

Particolarmente attivi nell'utilizzo di dialer sono stati eutelia spa tramite la controllata inglese
Teleasp ltd
e teleunit spa attraverso la societa' di Perugia proadvertising Srl

A questo punto direi :

NON PAGATE SE AVETE AVUTO DEL TRAFFICO ANOMALO !

giovedì 14 febbraio 2008

Il peggio del peggio

Un post sull'eccellente blog di sunbelt
http://sunbeltblog.blogspot.com/2008/02/dangerous-new-fake-american-greetings.html
ed in particolare analisi dell'ip associato al dominio
che ospita il malware [88.255.90.227] mi hanno dato lo spunto per scrivere queste poche righe

Senza scendere in dettagli vi consiglio vivamente di bloccare con il firewall
questo autentico range immondizia.

Si tratta di server utilizzati dai criminali di RBN (russian business network)

e gia' presenti da tempo nella mia blacklist

inetnum: 88.255.90.0 - 88.255.90.255
netname: AbdAllah_Internet
descr: AbdAllah Internet Hizmetleri
descr: Etnografya Muze mevkii Kirazlik Mh. No:32 Rize
country: tr
admin-c: MAG87-RIPE
tech-c: MAG87-RIPE
status: assigned pa
mnt-by: as9121-mnt
source: RIPE # Filtered
route: 88.255.0.0/16
descr: TurkTelekom
origin: AS9121
mnt-by: AS9121-MNT
source: RIPE # Filtered
Nell'articolo seguente potete trovare alcune informazioni in merito:

http://www.joewein.net/fraud/host-abdallah-internet.htm

martedì 12 febbraio 2008

Ancora su italiancollection.in

Ancora un approfondimento sul virus (con dialer) di cui ci eravamo occupati qualche settimana fa.
Ho fatto una velocissima decodifica dello script offuscato che fa scaricare il malware.



qui sotto potete vedere un'immagine nell'infame script malevolo in azione



la cosa interessante è che dando uno sguardo al server che ospita il malware ho trovato il solito
motore di ricerca fasullo con un logo che è una specie di marchio di fabbrica per una certa gang russa. Chi si occupa di sicurezza sa di chi sto parlando.



qui sotto l'n-esima conferma che mostra la nazionalita' di chi c'è dietro




giovedì 7 febbraio 2008

USA e UE all'attacco della rete criminale russa RBN

Segnalo un interessantissimo articolo su RBN (russian business network) e su come le autorita' statunitensi ed ora anche l'Unione Europea si stiano occupando (finalmente) del problema:

http://www.hwupgrade.it/forum/showthread.php?t=1672766

Il secondo riguarda l'infame network stormworm, una botnet di pc zombie (si tratta sempre di cybercriminalita' russa)

http://www.internetnews.com/ent-news/article.php/3724966

Speriamo che le cose migliorino presto anche se onestamente ho qualche dubbio

lunedì 4 febbraio 2008

Applet infette con certificato

Faccio un post rapidissimo che meriterebbe di certo maggiore approfondimento.
Una delle tendenze piu' assurde che si sta verificando in rete è la certificazione dei malware.
L'immagine qui sotto credo sia sufficientemente chiara:
Si tratta si un'applet java infetta




Nello stesso dominio dell'applet [retaguilas.com] avevo trovato anche banner in flash malevoli