I domini dove è ospitato l'MBR rootkit (Backdoor.Win32.Sinowal.br)
eaoafir.com
hnoafir.com
ces2vif.com
fhv5vif.com
cyzmvif.com
Ora puntano a 71.6.218.207 California Regional Intranet, Inc. USA
Aggiornamento 30/4/08
Ora puntano a 66.240.209.93 California Regional Intranet, Inc. USA
Aggiornamento 07/5/08
ces2vif.com , eaoafir.com 74.50.117.49 Noc4hosts Inc USA
fhv5vif.com , hnoafir.com , cyzmvif.com 66.240.234.196 California Regional Intranet, Inc. USA
La societa' giapponese Tredmicro (Antivirus pc-cillin) segnala l'attacco che ricalca quello avvenuto verso l'Italia l'anno scorso piu' o meno nello stesso periodo (attacco con mpack) : lo definiscono un nuovo italian job
http://blog.trendmicro.com/one-year-later-italian-job-still-working-overtime/
Aggiornamento
Dopo una fitta corrispondenza con un analista di kasperskylab alcuni siti (ma non tutti) vengono bloccati dall'Av omonimo
Nell'immagine il sito ufficiale di monica bellucci.
PER I WEBMASTER:
- Rimuovere i seguenti script (di solito si trovano in fondo alla pagina ma non sempre)
PER GLI UTENTI:
- Fare una scansione con i tool per controllare se sieti infetti con il MBR rootkit/trojan Sinowal
PREVXCSI http://info.prevx.com/download.asp?grab=prevxcsi
ROOTKIT BUSTER http://www.trendmicro.com/download/rbuster.asp
GMER (solo per utenti esperti) http://gmer.net/gmer.zip
Aggiornamento 5/5/08
Sono ancora molti i siti infetti ospitati da aruba s.p.a. ma le cose sono migliorate.
Alcuni tra i piu' importanti come ad esempio quello di sabrina salerno sono stati bonificati.
Una cosa interessante riguarda www.comonight.com
perche' lo script malevolo non si trova nell'index
ma in un file chiamato bordo_flash.js
Aggiornamento 7/5/08
Riprende la notizia dell'attacco anche la stampa di Torino citando come fonte TrendMicro (l'articolo NON è aggiornato):
http://www.lastampa.it/_web/cmstp/tmplrubriche/blog/grubrica.asp?ID_blog=100&ID_articolo=217&ID_sezione=&sezione=
Aggiornamento 14/5/08
un lettore del blog mi segnala il seguente dominio:
cyzmvif.com che punta al solito ip:66.240.234.196
martedì 29 aprile 2008
domenica 27 aprile 2008
Come ti frego l'account su MSN
Mi è arrivato nella casella di posta su hotmail il solito invito a scoprire chi mi ha bloccato o cancellato dalla lista di MSN/LIVE messenger
Il sito che dovrebbe offrire questo "servizio" è
www.blockccheckert.com Ip:78.108.88.43 Russia
www.blockcontandchecke.org stesso ip
Si tratta del solito trucco per rubare account di live/msn/hotmail a catena
NON comunicate mai a nessuno il vostro indirizzo msn e la password associata
e non inserite questi dati in nessuna form
Questo post ovviamente non è rivolto a specialisti della sicurezza :-)
Il sito che dovrebbe offrire questo "servizio" è
www.blockccheckert.com Ip:78.108.88.43 Russia
www.blockcontandchecke.org stesso ip
Si tratta del solito trucco per rubare account di live/msn/hotmail a catena
NON comunicate mai a nessuno il vostro indirizzo msn e la password associata
e non inserite questi dati in nessuna form
Questo post ovviamente non è rivolto a specialisti della sicurezza :-)
sabato 26 aprile 2008
Ancora siti italiani compromessi dalla gang del MBR Rootkit
Veloce post per segnalare che ci sono siti web italiani compromessi con javascript offuscato che fanno installare un malware pericolosissimo ovvero l' MBR rootkit.
Sul sito di edgar c'è una lista di alcuni che hanno subito l'hack, tra i quali è presente anche il sito
della cantante Sabrina Salerno.
NON VISITATELI E SE LO FATE, SOLO CON FIREFOX E JAVA E JAVASCRIPT DISABILITATI
http://edetools.blogspot.com/2008/04/utilizzo-di-webscanner-nella-ricerca-di.html
il server da bloccare e' sempre lo stesso segnalato qualche giorno fa 71.6.151.188
Aggiornamento 29/4/08: ora è 71.6.151.207
Aggiornamento 30/4/08: ora è 66.240.209.93
Aggiornamento 07/5/08
ces2vif.com , eaoafir.com 74.50.117.49 Noc4hosts Inc USA
fhv5vif.com , hnoafir.com 66.240.234.196 California Regional Intranet, Inc. USA
Anche la percentuale di rilevazione su virus total è molto bassa.
Tra i vari exploit presenti sul server ci dovrebbe essere anche uno per acrobat reader. E' quindi necessario anche aggiornare il programma all'ultima versione disponibile.
I siti compromessi sono ospitati sui server di aruba s.p.a.
alcuni siti legittimi infettati:
Rootkit:
Sul sito di edgar c'è una lista di alcuni che hanno subito l'hack, tra i quali è presente anche il sito
della cantante Sabrina Salerno.
NON VISITATELI E SE LO FATE, SOLO CON FIREFOX E JAVA E JAVASCRIPT DISABILITATI
http://edetools.blogspot.com/2008/04/utilizzo-di-webscanner-nella-ricerca-di.html
il server da bloccare e' sempre lo stesso segnalato qualche giorno fa 71.6.151.188
Aggiornamento 29/4/08: ora è 71.6.151.207
Aggiornamento 30/4/08: ora è 66.240.209.93
Aggiornamento 07/5/08
ces2vif.com , eaoafir.com 74.50.117.49 Noc4hosts Inc USA
fhv5vif.com , hnoafir.com 66.240.234.196 California Regional Intranet, Inc. USA
Anche la percentuale di rilevazione su virus total è molto bassa.
Tra i vari exploit presenti sul server ci dovrebbe essere anche uno per acrobat reader. E' quindi necessario anche aggiornare il programma all'ultima versione disponibile.
I siti compromessi sono ospitati sui server di aruba s.p.a.
alcuni siti legittimi infettati:
www.sabrinasalerno.com [bonificato]
www.deegees.it [bonificato]
www.graphixmania.it [bonificato]
www.skuolasprint.it [bonificato]
www.custommania.com [bonificato]
www.giovaniudccasteltermini.com [bonificato]
www.fluidifikas.it [bonificato]
www.ristoreggio.it [bonificato]
www.jacopo81.it [bonificato]
www.sevenpress.com [bonificato]
www.fasterage.net [bonificato]
www.mrprofit.it [bonificato]
www.fondiesicav.info
www.cristianolucarelli.com [bonificato]
www.beverlyclub.net [bonificato]
www.romanotizie.it [bonificato]
www.bitgame.it [bonificato]
www.lafra.it [bonificato]
www.olderic.com [bonificato] ma usa un servizio di statistiche con dialer
www.decimacodserver.com [bonificato]
www.biancoscudati.net [bonificato]
www.elisabettagregoraci.net [bonificato]
www.monicabellucci.it [bonificato]
www.pearl-jam.it [bonificato]
www.poohforfans.com [bonificato]
www.illuweb.it [bonificato]
bloccostudentesco.org [bonificato]
www.certenotti.net [bonificato]
www.curvanordmilano.net [bonificato]
www.ifod.it [bonificato]
ecc.
Rootkit:
giovedì 17 aprile 2008
Un nuovo pericoloso range immondizia
Prendo lo spunto da un interessante post di edgar riguardante l'hack di alcuni domini .it
http://edetools.blogspot.com/2008/04/aggiornamenti-vari-16-aprile.html
per fare una veloce analisi di un nuovo infame range spazzatura.
Partiamo dal seguente sito traffurl.ru ospitato su 78.129.166.30 sul quale sono presenti exploit.
Sullo stesso server sono ospitati anche i seguenti domini
notare qui sotto l'ip 58.65. 236.9 di Hostfresh HongKong il che vuol dire RBN (Russian Business Network)
il range da bloccare è 78.129.166.0 - 78.129.166.255 attribuito alla fantomatica FeelItaly LLC (Italy)
AS29131 RAPIDSWITCH Ltd - London UK - IP range involved - 78.129.128.0/17
feelitaly.net risulta registrato da un russo
Anche su castlecops c'è un post che conferma che sul range vengono ospitati malware
http://www.castlecops.com/Trojan_Downloader_malware8502.html
http://edetools.blogspot.com/2008/04/aggiornamenti-vari-16-aprile.html
per fare una veloce analisi di un nuovo infame range spazzatura.
Partiamo dal seguente sito traffurl.ru ospitato su 78.129.166.30 sul quale sono presenti exploit.
Sullo stesso server sono ospitati anche i seguenti domini
- 1counter.info
- Googleset.info
- X-traff.info
notare qui sotto l'ip 58.65. 236.9 di Hostfresh HongKong il che vuol dire RBN (Russian Business Network)
il range da bloccare è 78.129.166.0 - 78.129.166.255 attribuito alla fantomatica FeelItaly LLC (Italy)
AS29131 RAPIDSWITCH Ltd - London UK - IP range involved - 78.129.128.0/17
feelitaly.net risulta registrato da un russo
Anche su castlecops c'è un post che conferma che sul range vengono ospitati malware
http://www.castlecops.com/Trojan_Downloader_malware8502.html
Un "distretto di polizia" con dialer: siti mediaset con statistiche infette
I siti ufficiali delle fiction mediaset usano abbastanza incredibilmente il servizio di statistiche "gratuito"
www.webmeter.ws che notoriamente fa scaricare dialer. 6 minuti per la modica cifra di 15 euro :-)
Eccone alcuni:
hxxp://www.distrettodipolizia.tv/
hxxp://www.lamiaterra.mediaset.it/
hxxp://www.risdelittiimperfetti.tv/
htxp://www.stagioni.mediaset.it/main.htm
hxxp://www.grandidomani.mediaset.it/main.htm
hxxp://www.padriefigli.mediaset.it/
hxxp://www.cuorecontrocuore.mediaset.it/main.htm
hxxp://www.ilbellodelledonne.it/
hxxp://www.fiction.mediaset.it/fiction/lafigliadielisa/default.htm
hxxp://www.mastrangelo.mediaset.it/
non so se ce ne sono altri
Nel caso si risponda no, appare questo messaggio:
Inutile fare commenti perche' questa volta dovrei essere veramente duro.
Un conto è avere il sito compromesso con un iframe da cybercriminali abilissimi e superpreparati
e un altro è piazzarci volontariamente del codice senza sapere se è sicuro o meno.
NO COMMENT
Aggiornamento: il contatore malevolo dovrebbe essere stato rimosso dai vari siti mediaset
www.webmeter.ws che notoriamente fa scaricare dialer. 6 minuti per la modica cifra di 15 euro :-)
Eccone alcuni:
hxxp://www.distrettodipolizia.tv/
hxxp://www.lamiaterra.mediaset.it/
hxxp://www.risdelittiimperfetti.tv/
htxp://www.stagioni.mediaset.it/main.htm
hxxp://www.grandidomani.mediaset.it/main.htm
hxxp://www.padriefigli.mediaset.it/
hxxp://www.cuorecontrocuore.mediaset.it/main.htm
hxxp://www.ilbellodelledonne.it/
hxxp://www.fiction.mediaset.it/fiction/lafigliadielisa/default.htm
hxxp://www.mastrangelo.mediaset.it/
non so se ce ne sono altri
Nel caso si risponda no, appare questo messaggio:
Inutile fare commenti perche' questa volta dovrei essere veramente duro.
Un conto è avere il sito compromesso con un iframe da cybercriminali abilissimi e superpreparati
e un altro è piazzarci volontariamente del codice senza sapere se è sicuro o meno.
NO COMMENT
Aggiornamento: il contatore malevolo dovrebbe essere stato rimosso dai vari siti mediaset
martedì 15 aprile 2008
Cybercriminali sempre un passo avanti agli Antivirus
Rapido post per segnalare ancora una volta quanto possano fare poco gli attuali antivirus contro i malware delle organizzazioni criminali che operano sul web.
Esempio:
hxxp://209.205.196.16/[edit]/chris0233/lu/dm_0233.exe
Questo dialer viene cambiato con molto frequentemente.
Forse ogni volta che viene intercettato da kaspersky AV.
Credo di aver inviato almeno tra i 10 e 15 sample dello stesso virus nell'arco di un mese alla famosa societa' russa.
Denominazione : Trojan.Win32.Radi.XX
Puntualmente il giorno dopo e spesso dopo appena qualche ora dall'aggiornamento della basi virali, Kaspersky mancava l'individuazione della minaccia.
Questo post trova motivazione proprio nel fatto che mi sono un po' scocciato di questa situazione.
I prodotti che basano la loro efficacia essenzialmente sulle firme virali non hanno nessuna possibilita' di svolgere in modo sufficiente il loro compito, ovvero quello di proteggere il pc degli utenti.
Le considerazioni fatte valgono anche per altri software presenti su virustotal non solo per kaspersky. Ne parlo soltanto perche' nonostante gli analisti siano piuttosto veloci nell'aggiornare il DB, i cybercriminali sono altrettanto rapidi nel ricodificare il malware ed eludere così questo tipo di protezioni.
Gli AV che riescono a bloccare questo virus stabilmente tramite l'euristica sono quelli che vedete
qui sotto:
Qui invece trovate l'analisi effettuata attraverso la sandbox di sunbelt:
http://www.cwsandbox.org/?page=details&id=209405&password=nhghe
Ci sono tutte le informazioni del caso (il virus crea il file winupdate.exe nella cartella C:\WINDOWS\ e aggiunge una chiave nel registro per essere eseguito)
Certo, quello che ho scritto non è una novita' ma ribadirlo ogni tanto non fa mai male.
Esempio:
hxxp://209.205.196.16/[edit]/chris0233/lu/dm_0233.exe
Questo dialer viene cambiato con molto frequentemente.
Forse ogni volta che viene intercettato da kaspersky AV.
Credo di aver inviato almeno tra i 10 e 15 sample dello stesso virus nell'arco di un mese alla famosa societa' russa.
Denominazione : Trojan.Win32.Radi.XX
Puntualmente il giorno dopo e spesso dopo appena qualche ora dall'aggiornamento della basi virali, Kaspersky mancava l'individuazione della minaccia.
Questo post trova motivazione proprio nel fatto che mi sono un po' scocciato di questa situazione.
I prodotti che basano la loro efficacia essenzialmente sulle firme virali non hanno nessuna possibilita' di svolgere in modo sufficiente il loro compito, ovvero quello di proteggere il pc degli utenti.
Le considerazioni fatte valgono anche per altri software presenti su virustotal non solo per kaspersky. Ne parlo soltanto perche' nonostante gli analisti siano piuttosto veloci nell'aggiornare il DB, i cybercriminali sono altrettanto rapidi nel ricodificare il malware ed eludere così questo tipo di protezioni.
Gli AV che riescono a bloccare questo virus stabilmente tramite l'euristica sono quelli che vedete
qui sotto:
Qui invece trovate l'analisi effettuata attraverso la sandbox di sunbelt:
http://www.cwsandbox.org/?page=details&id=209405&password=nhghe
Ci sono tutte le informazioni del caso (il virus crea il file winupdate.exe nella cartella C:\WINDOWS\ e aggiunge una chiave nel registro per essere eseguito)
Certo, quello che ho scritto non è una novita' ma ribadirlo ogni tanto non fa mai male.
venerdì 11 aprile 2008
La gang del MBR Rootkit ci riprova: compromesso con iframe ladestra.info
Come gia' annunciato da Symantec il sito ladestra.info è stato compromesso con un iframe malevolo
che attraverso exploit fa scaricare ed installare automaticamente l'ultima versione del terribile
MBR Rootkit.
ATTENZIONE: In questo momento l'iframe è ancora presente per cui evitate di visitare questo sito e se proprio dovete, fatelo con FireFox con java e javascript disabilitati
L'ip da bloccare è 71.6.151.188 (cds5fir.com)
Per ulteriori informazioni vi rimando alla lettura dell'articolo sul blog di Symantec:
http://www.symantec.com/enterprise/security_response/weblog/2008/04/election_time_in_italy_complet.html
AGGIORNAMENTO
Nel caso abbiate visitato ladestra.info vi consiglio fortemente di fare una scansione con il tool antimalware prevx csi
http://info.prevx.com/downloadcsi.asp
e con l'antirootkit gmer
http://gmer.net/gmer.zip
AGGIORNAMENTO 2
Iframe malevolo rimosso dal sito la destra.info . cds5fir.com continua invece ad ospitare il malware e gli exploit.
Come al solito c'è un falso messaggio: " This domain for sale.
Try another domain. "
che attraverso exploit fa scaricare ed installare automaticamente l'ultima versione del terribile
MBR Rootkit.
ATTENZIONE: In questo momento l'iframe è ancora presente per cui evitate di visitare questo sito e se proprio dovete, fatelo con FireFox con java e javascript disabilitati
L'ip da bloccare è 71.6.151.188 (cds5fir.com)
Per ulteriori informazioni vi rimando alla lettura dell'articolo sul blog di Symantec:
http://www.symantec.com/enterprise/security_response/weblog/2008/04/election_time_in_italy_complet.html
AGGIORNAMENTO
Nel caso abbiate visitato ladestra.info vi consiglio fortemente di fare una scansione con il tool antimalware prevx csi
http://info.prevx.com/downloadcsi.asp
e con l'antirootkit gmer
http://gmer.net/gmer.zip
AGGIORNAMENTO 2
Iframe malevolo rimosso dal sito la destra.info . cds5fir.com continua invece ad ospitare il malware e gli exploit.
Come al solito c'è un falso messaggio: " This domain for sale.
Try another domain. "
giovedì 3 aprile 2008
Compromesso emule-italia.it: Symantec stoppa l'attacco con il terribile Mebroot
Secondo Symantec il giorno 2 aprile sarebbero stati compromessi vari siti con alto traffico, tra cui
emule-italia.it. La tecnica è sempre la stessa , ovvero inserire nel codice un javascript offuscato
che tenta di far scaricare attraverso exploit un malware. In questo caso si tratta dell'ultima versione del temibile Mebroot (un rootkit per il MBR).
Per maggiori informazioni vi rimando alla lettura del blog di symantec:
http://www.symantec.com/enterprise/security_response/weblog/2008/04/mebroot_spreading_through_high.html
Qui invece informazioni sul pericoloso malware:
http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html
emule-italia.it. La tecnica è sempre la stessa , ovvero inserire nel codice un javascript offuscato
che tenta di far scaricare attraverso exploit un malware. In questo caso si tratta dell'ultima versione del temibile Mebroot (un rootkit per il MBR).
Per maggiori informazioni vi rimando alla lettura del blog di symantec:
http://www.symantec.com/enterprise/security_response/weblog/2008/04/mebroot_spreading_through_high.html
Qui invece informazioni sul pericoloso malware:
http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html
mercoledì 2 aprile 2008
Risarcimenti 899 e dialer: la class action di altroconsumo
Tempo di risarcimenti per coloro che hanno ricevuto bollette astronomiche per via degli 899 e dei dialer. Altroconsumo tra raccogliendo segnalazioni per poter avviare una class action contro telecomitalia.
Per chi fosse interessato ecco il link diretto all'inziativa della famosa associazione che tutela i consumatori:
http://www.altroconsumo.it/map/src/198663.htm
Per chi fosse interessato ecco il link diretto all'inziativa della famosa associazione che tutela i consumatori:
http://www.altroconsumo.it/map/src/198663.htm
Iscriviti a:
Post (Atom)