martedì 29 aprile 2008

Cambia il server dell'infame MBR rootkit

I domini dove è ospitato l'MBR rootkit (Backdoor.Win32.Sinowal.br)

eaoafir.com
hnoafir.com

ces2vif.com
fhv5vif.com
cyzmvif.com

Ora puntano a 71.6.218.207 California Regional Intranet, Inc. USA

Aggiornamento 30/4/08

Ora puntano a 66.240.209.93 California Regional Intranet, Inc. USA


Aggiornamento 07/5/08

ces2vif.com , eaoafir.com 74.50.117.49 Noc4hosts Inc USA
fhv5vif.com , hnoafir.com , cyzmvif.com 66.240.234.196 California Regional Intranet, Inc. USA

La societa' giapponese Tredmicro (Antivirus pc-cillin) segnala l'attacco che ricalca quello avvenuto verso l'Italia l'anno scorso piu' o meno nello stesso periodo (attacco con mpack) : lo definiscono un nuovo italian job

http://blog.trendmicro.com/one-year-later-italian-job-still-working-overtime/

Aggiornamento

Dopo una fitta corrispondenza con un analista di kasperskylab alcuni siti (ma non tutti) vengono bloccati dall'Av omonimo

Nell'immagine il sito ufficiale di monica bellucci.




PER I WEBMASTER:

- Rimuovere i seguenti script (di solito si trovano in fondo alla pagina ma non sempre)




PER GLI UTENTI:

- Fare una scansione con i tool per controllare se sieti infetti con il MBR rootkit/trojan Sinowal

PREVXCSI
http://info.prevx.com/download.asp?grab=prevxcsi
ROOTKIT BUSTER http://www.trendmicro.com/download/rbuster.asp
GMER (solo per utenti esperti)
http://gmer.net/gmer.zip


Aggiornamento 5/5/08

Sono ancora molti i siti infetti ospitati da aruba s.p.a. ma le cose sono migliorate.
Alcuni tra i piu' importanti come ad esempio quello di sabrina salerno sono stati bonificati.

Una cosa interessante riguarda www.comonight.com
perche' lo script malevolo non si trova nell'index
ma in un file chiamato bordo_flash.js




Aggiornamento 7/5/08

Riprende la notizia dell'attacco anche la stampa di Torino citando come fonte TrendMicro (l'articolo NON è aggiornato):

http://www.lastampa.it/_web/cmstp/tmplrubriche/blog/grubrica.asp?ID_blog=100&ID_articolo=217&ID_sezione=&sezione=


Aggiornamento 14/5/08

un lettore del blog mi segnala il seguente dominio:

cyzmvif.com che punta al solito ip:66.240.234.196

domenica 27 aprile 2008

Come ti frego l'account su MSN

Mi è arrivato nella casella di posta su hotmail il solito invito a scoprire chi mi ha bloccato o cancellato dalla lista di MSN/LIVE messenger

Il sito che dovrebbe offrire questo "servizio" è

www.blockccheckert.com Ip:78.108.88.43 Russia
www.blockcontandchecke.org stesso ip

Si tratta del solito trucco per rubare account di live/msn/hotmail a catena

NON comunicate mai a nessuno il vostro indirizzo msn e la password associata
e non inserite questi dati in nessuna form

Questo post ovviamente non è rivolto a specialisti della sicurezza :-)

sabato 26 aprile 2008

Ancora siti italiani compromessi dalla gang del MBR Rootkit

Veloce post per segnalare che ci sono siti web italiani compromessi con javascript offuscato che fanno installare un malware pericolosissimo ovvero l' MBR rootkit.

Sul sito di edgar c'è una lista di alcuni che hanno subito l'hack, tra i quali è presente anche il sito
della cantante Sabrina Salerno.

NON VISITATELI E SE LO FATE, SOLO CON FIREFOX E JAVA E JAVASCRIPT DISABILITATI

http://edetools.blogspot.com/2008/04/utilizzo-di-webscanner-nella-ricerca-di.html

il server da bloccare e' sempre lo stesso segnalato qualche giorno fa 71.6.151.188

Aggiornamento 29/4/08:
ora è 71.6.151.207
Aggiornamento 30/4/08: ora è 66.240.209.93
Aggiornamento 07/5/08

ces2vif.com , eaoafir.com 74.50.117.49 Noc4hosts Inc USA
fhv5vif.com , hnoafir.com 66.240.234.196 California Regional Intranet, Inc. USA



Anche la percentuale di rilevazione su virus total è molto bassa.



Tra i vari exploit presenti sul server ci dovrebbe essere anche uno per acrobat reader. E' quindi necessario anche aggiornare il programma all'ultima versione disponibile.



I siti compromessi sono ospitati sui server di aruba s.p.a.

alcuni siti legittimi infettati:

www.sabrinasalerno.com [bonificato]
www.deegees.it [bonificato]
www.graphixmania.it [bonificato]
www.skuolasprint.it [bonificato]
www.custommania.com [bonificato]
www.giovaniudccasteltermini.com [bonificato]
www.fluidifikas.it [bonificato]
www.ristoreggio.it [bonificato]
www.jacopo81.it [bonificato]
www.sevenpress.com [bonificato]
www.fasterage.net [bonificato]
www.mrprofit.it [bonificato]
www.fondiesicav.info
www.cristianolucarelli.com
[bonificato]
www.beverlyclub.net [bonificato]
www.romanotizie.it [bonificato]
www.bitgame.it [bonificato]
www.lafra.it [bonificato]
www.olderic.com [bonificato] ma usa un servizio di statistiche con dialer
www.decimacodserver.com [bonificato]
www.biancoscudati.net [bonificato]
www.elisabettagregoraci.net [bonificato]
www.monicabellucci.it [bonificato]
www.pearl-jam.it [bonificato]
www.poohforfans.com [bonificato]
www.illuweb.it [bonificato]
bloccostudentesco.org [bonificato]
www.certenotti.net [bonificato]
www.curvanordmilano.net [bonificato]
www.ifod.it [bonificato]
ecc.

Rootkit:


giovedì 17 aprile 2008

Un nuovo pericoloso range immondizia

Prendo lo spunto da un interessante post di edgar riguardante l'hack di alcuni domini .it

http://edetools.blogspot.com/2008/04/aggiornamenti-vari-16-aprile.html

per fare una veloce analisi di un nuovo infame range spazzatura.

Partiamo dal seguente sito traffurl.ru ospitato su 78.129.166.30 sul quale sono presenti exploit.
Sullo stesso server sono ospitati anche i seguenti domini
  1. 1counter.info
  2. Googleset.info
  3. X-traff.info


notare qui sotto l'ip 58.65. 236.9 di Hostfresh HongKong il che vuol dire RBN (Russian Business Network)



il range da bloccare è 78.129.166.0 - 78.129.166.255 attribuito alla fantomatica FeelItaly LLC (Italy)



AS29131 RAPIDSWITCH Ltd - London UK - IP range involved - 78.129.128.0/17

feelitaly.net risulta registrato da un russo


Anche su castlecops c'è un post che conferma che sul range vengono ospitati malware

http://www.castlecops.com/Trojan_Downloader_malware8502.html

Un "distretto di polizia" con dialer: siti mediaset con statistiche infette

I siti ufficiali delle fiction mediaset usano abbastanza incredibilmente il servizio di statistiche "gratuito"
www.webmeter.ws che notoriamente fa scaricare dialer. 6 minuti per la modica cifra di 15 euro :-)

Eccone alcuni:

hxxp://www.distrettodipolizia.tv/
hxxp://www.lamiaterra.mediaset.it/
hxxp://www.risdelittiimperfetti.tv/
htxp://www.stagioni.mediaset.it/main.htm
hxxp://www.grandidomani.mediaset.it/main.htm
hxxp://www.padriefigli.mediaset.it/
hxxp://www.cuorecontrocuore.mediaset.it/main.htm
hxxp://www.ilbellodelledonne.it/
hxxp://www.fiction.mediaset.it/fiction/lafigliadielisa/default.htm
hxxp://www.mastrangelo.mediaset.it/

non so se ce ne sono altri



Nel caso si risponda no, appare questo messaggio:







Inutile fare commenti perche' questa volta dovrei essere veramente duro.
Un conto è avere il sito compromesso con un iframe da cybercriminali abilissimi e superpreparati
e un altro è piazzarci volontariamente del codice senza sapere se è sicuro o meno.

NO COMMENT

Aggiornamento: il contatore malevolo dovrebbe essere stato rimosso dai vari siti mediaset

martedì 15 aprile 2008

Cybercriminali sempre un passo avanti agli Antivirus

Rapido post per segnalare ancora una volta quanto possano fare poco gli attuali antivirus contro i malware delle organizzazioni criminali che operano sul web.

Esempio:

hxxp://209.205.196.16/[edit]/chris0233/lu/dm_0233.exe

Questo dialer viene cambiato con molto frequentemente.
Forse ogni volta che viene intercettato da kaspersky AV.

Credo di aver inviato almeno tra i 10 e 15 sample dello stesso virus nell'arco di un mese alla famosa societa' russa.

Denominazione : Trojan.Win32.Radi.XX

Puntualmente il giorno dopo e spesso dopo appena qualche ora dall'aggiornamento della basi virali, Kaspersky mancava l'individuazione della minaccia.
Questo post trova motivazione proprio nel fatto che mi sono un po' scocciato di questa situazione.


I prodotti che basano la loro efficacia essenzialmente sulle firme virali non hanno nessuna possibilita' di svolgere in modo sufficiente il loro compito, ovvero quello di proteggere il pc degli utenti.

Le considerazioni fatte valgono anche per altri software presenti su virustotal non solo per kaspersky. Ne parlo soltanto perche' nonostante gli analisti siano piuttosto veloci nell'aggiornare il DB, i cybercriminali sono altrettanto rapidi nel ricodificare il malware ed eludere così questo tipo di protezioni.


Gli AV che riescono a bloccare questo virus stabilmente tramite l'euristica sono quelli che vedete
qui sotto:




Qui invece trovate l'analisi effettuata attraverso la sandbox di sunbelt:

http://www.cwsandbox.org/?page=details&id=209405&password=nhghe

Ci sono tutte le informazioni del caso (il virus crea il file winupdate.exe nella cartella C:\WINDOWS\ e aggiunge una chiave nel registro per essere eseguito)


Certo, quello che ho scritto non è una novita' ma ribadirlo ogni tanto non fa mai male.

venerdì 11 aprile 2008

La gang del MBR Rootkit ci riprova: compromesso con iframe ladestra.info

Come gia' annunciato da Symantec il sito ladestra.info è stato compromesso con un iframe malevolo
che attraverso exploit fa scaricare ed installare automaticamente l'ultima versione del terribile
MBR Rootkit.

ATTENZIONE: In questo momento l'iframe è ancora presente per cui evitate di visitare questo sito e se proprio dovete, fatelo con FireFox con java e javascript disabilitati



L'ip da bloccare è 71.6.151.188 (cds5fir.com)

Per ulteriori informazioni vi rimando alla lettura dell'articolo sul blog di Symantec:

http://www.symantec.com/enterprise/security_response/weblog/2008/04/election_time_in_italy_complet.html


AGGIORNAMENTO

Nel caso abbiate visitato ladestra.info vi consiglio fortemente di fare una scansione con il tool antimalware prevx csi

http://info.prevx.com/downloadcsi.asp

e con l'antirootkit gmer

http://gmer.net/gmer.zip

AGGIORNAMENTO 2

Iframe malevolo rimosso dal sito la destra.info . cds5fir.com continua invece ad ospitare il malware e gli exploit.

Come al solito c'è un falso messaggio:
" This domain for sale.
Try another domain. "


giovedì 3 aprile 2008

Compromesso emule-italia.it: Symantec stoppa l'attacco con il terribile Mebroot

Secondo Symantec il giorno 2 aprile sarebbero stati compromessi vari siti con alto traffico, tra cui
emule-italia.it. La tecnica è sempre la stessa , ovvero inserire nel codice un javascript offuscato
che tenta di far scaricare attraverso exploit un malware. In questo caso si tratta dell'ultima versione del temibile Mebroot (un rootkit per il MBR).

Per maggiori informazioni vi rimando alla lettura del blog di symantec:

http://www.symantec.com/enterprise/security_response/weblog/2008/04/mebroot_spreading_through_high.html

Qui invece informazioni sul pericoloso malware:

http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html


mercoledì 2 aprile 2008

Risarcimenti 899 e dialer: la class action di altroconsumo

Tempo di risarcimenti per coloro che hanno ricevuto bollette astronomiche per via degli 899 e dei dialer. Altroconsumo tra raccogliendo segnalazioni per poter avviare una class action contro telecomitalia.



Per chi fosse interessato ecco il link diretto all'inziativa della famosa associazione che tutela i consumatori:

http://www.altroconsumo.it/map/src/198663.htm