Gromozon e i suoi fratelli

NO al decreto Alfano

2009-07-14T13:04:00.002+02:00

La fine di Estdomains

2008-11-25T14:06:00.004+01:00

Dopo anni di attivita' illecite scompare finalmente dalla rete Estdomains inc.
I domini registrati dalla societa' con base in Estonia passano sotto la gestione di ResellerClub del gruppo indiano Directi.

Italian Job 3 :compromessi siti web su server Tiscali

2008-11-08T15:00:00.014+01:00

Come avevo immaginato sono almeno centinaia i siti web compromessi con script malevoli sul server di Tiscali con ip 213.205.40.169.
Una lista incompleta (ad esempio mancano quelli che ho segnalato io) la potete trovare sul blog dell'amico edgar:

http://edetools.blogspot.com/2008/11/aggiornamento-situazione-siti-colpiti.html

Così come un'analisi degli exploit per infettare il vs. computer

http://edetools.blogspot.com/2008/11/il-contenuto-delle-pagine-linkate.html
http://edetools.blogspot.com/2008/11/aggiornamento-attacco-siti-web-su.html

Fortunatamente alcuni sono segnalati da google

e firefox 3 ( che vi invito fortemente ad usare)

AGGIORNAMENTO 10/11/08

Un veloce aggiornamento per mostrare alcuni tipi di virus dell'attacco (denominazione Kaspersky AV) :

hxxp://62.16.112.143/e/[edit]load.php?ssv is infected with Trojan.Win32.Agent.amku
hxxp://79.135.167.63/x/[edit]load.php?ssv is infected with Trojan.Win32.Agent.amku
hxxp://79.135.167.63/d/[edit]load.php?ssv is infected with Trojan-Downloader.Win32.Agent.aoja
hxxp://78.109.25.199/[edit]load.php?ssv is infected with Trojan-Downloader.Win32.Agent.aoja

Un nuovo hack di massa sui server di Tiscali?

2008-11-06T19:39:00.020+01:00

Dopo i clamorosi attacchi perpetrati ai danni di hoster italiani come aruba , seeweb , hostingsolutions
degli scorsi anni
potrebbe essere in atto o c'è gia' stato un nuovo hack di massa su server tiscali.
Non credo che avro' il tempo do verificare la cosa ma ho notato la presenza di javascript offuscati che celavano i soliti iframe infetti.

In particolare sul server 213.205.40.169 risultano compromessi i domini

www.reperunanotte.it
www.accaddeoggi.it
www.reggiavenariareale.it
www.medicidigruppo.it

e www.adipa.org

www.dellotto.it

iframe malevolo in chiaro ( server dell'attacco 79.135.167.63 )

Se qualcuno volesse verificare se ce ne sono altri sul server (ancora meglio su tutto il range) , magari utilizzando il tool webscanner di edgar, sarebbe molto utile.

Cybercriminalita': anche la stampa italiana si sveglia

2008-11-03T12:11:00.004+01:00

Dopo anni di torpore anche la stampa italiana pubblica 2 interessanti articoli sul fenomeno
della cybercriminalita' dilagante sul web:

Il primo è della stampa di torino:

http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=5116&ID_sezione=38&sezione=New s

L'altro dell'espresso:

http://demo.extra.kataweb.it/eolextrademo/eol.jsp?id=1891462&page=article&giornale=espresso

Estdomains alla resa dei conti

2008-10-29T19:36:00.009+01:00

Dopo la scomparsa dell'infame hoster Atrivo/Intercage, c'è un'altra bellissima notizia.
L'ICANN sta per escludere dalla lista della societa' accreditate per registrare i domini Estdomains
Inc.

Tutti i dettagli li potete leggere sul blog della famosa azienda finlandese F-secure.

http://www.f-secure.com/weblog/archives/00001522.html

I prossimi ad essere buttati fuori della rete spero siano quelli dalle gang russa di Klikrevenue.

AGGIORNAMENTO 30/10/08

Ulteriori sviluppi qui, con la risposta di quelle anime pie di Estdomains:

http://www.icann.org/en/announcements/announcement-2-29oct08-en.htm

Riportano la notizia anche il washingtonpost e Zdnet

http://voices.washingtonpost.com/securityfix/2008/10/icann_de-accredits_estdomains.html?hpid=sec-tech

http://blogs.zdnet.com/security/?p=2089

qui invece qualcosa in italiano:

http://www.sicurezzainformatica.it/2008/10/estdomains-de-accreditato-da-icann.html

Atrivo/Intercage (AS27595) off-line

2008-09-22T21:01:00.022+02:00

Per la serie good news sembra che uno dei piu' famosi network di cybercriminali del mondo sia finalmente off-line.
Pare infatti che estdomains (l'infame registro di domini fraudolenti) abbia spostato il suo sito che prima era ospitato da atrivo/intercage USA , sul server 94.102.49.4
e esthost.com su 94.102.49.3

Ecatel LTD NETHERLANDS
94.102.48.0 - 94.102.63.255

Staremo a vedere come si evolvera' la situazione nei prossimi giorni.

AGGIORNAMENTO

Atrivo ha trovato ancora una volta un nuovo fornitore di accesso dopo che molti gli avevano "staccato la spina". Si tratta di

 AS23342         UNITEDLAYER - Unitedlayer, Inc



Articoli sulla scomparsa dell'infame Atrivo/Intercage

http://www.pcworld.com/article/151386/.html?tk=rss_news

http://rbnexploit.blogspot.com/2008/09/rbn-atrivo-goes-dark.html

Sul forum di malwaredomainlist.com c'è una discussione su estdomains

http://www.malwaredomainlist.com/forums/index.php?topic=2180.0



Un altro interessante articolo è su arstechnica

http://arstechnica.com/news.ars/post/20080923-bad-seed-isp-atrivo-cut-off-from-rest-of-the-internet.html


AGGIORNAMENTO 25/9/08

Estdomains continua la ricerca di una nuova casa.
Attualmente il dominio dell'infame registro punta al server 78.157.142.165 Latvia Vdhost Ltd
appartente ad un blocco gia' noto per ospitare malware e falsi antivirus.

AGGIORNAMENTO II - 25/9/08

Estdomains ha trovato la sua naturale collocazione. Il server russo 83.171.76.98 è
di una societa' di SanPietroburgo (probabilmente la capitale mondiale del cybercrime)
ZAO Petersburg Transit Telecom (PTT).

Qui nessuno potra' buttarli fuori dalla rete.

AGGIORNAMENTO III - 28/9/08

Atrivo/intercage sembra effettivamente sparita dalla rete :-)

Estdomains: il registro della cybercriminalita' organizzata

2008-09-14T03:38:00.006+02:00

Se avete preso un virus o un malware (falsi codec, falsi Antivirus/antispyware, exploit ,ecc. ) negli ultimi 4 anni sappiate che c'è una altissima probabilita' che il dominio del sito da cui avete scaricato la spazzatura sia stato registrato da Estdomains. Per chi legge questo blog o si occupa un minimo di sicurezza è cosa stranota.

Cos'è Estdomains? Per farla breve è il registro delle cybercriminalita' organizzata russa ed ha base in Estonia.

Grazie alla brillante inchiesta del washingtonpost possiamo finalmente avere maggiori informazioni su questa piaga assoluta del web, che sembrava essere intoccabile, forte di una impunita' totale.

http://voices.washingtonpost.com/securityfix/2008/09/estdomains.html

http://voices.washingtonpost.com/securityfix/2008/09/estdomains_a_sordid_history_an.html

Vi invito a leggere con attenzione entrambi gli articoli

I criminali di RBN e Atrivo sempre di piu' sotto i riflettori

2008-09-05T19:31:00.008+02:00

Dopo la pausa estiva eccoci ancora qui a parlare di cybercriminali e di malware.Per capirne qualcosa in piu', provo a segnalarvi 2 articoli veramente molto interessanti. Entrambi puntano il dito sull' infame RBN (russian business network) e sull' hoster atrivo/intercage le cui attivita' fraudolente hanno avuto sempre ampio spazio su questo blog.

Il primo è del washington post:
http://voices.washingtonpost.com/securityfix/2008/08/report_slams_us_host_as_major.htm l

Il secondo lo potete trovare sul blog RBNExploit:

http://rbnexploit.blogspot.com/2008/08/rbn-atrivo-cyber-crime-usa.html

Buona lettura :-)

P.s.

Aggiungo anche questo di spamhaus:

http://www.spamhaus.org/news.lasso?article=636

Mail Novelty Designs: Riciclaggio di denaro sporco

2008-06-13T10:26:00.004+02:00

Attenzione alle false offerte di lavoro ed in particolare quelle che vi chiedono di aprire un c/c bancario su cui far transitare somme di denaro di dubbia provenienza per poi trattenere una percentuale di quello che viene depositato.

La mail arriva dalla fantomatica Novelty Designs a nome di un certo Kollias Panagiotis

"TUTTO CIO' CHE DOVRAI FARE E' RICEVERE I PAGAMENTI DAI MIEI CLIENTI IN EUROPA (DIPENDE DALLA LOCALITA' IN CUI TI TROVI) E INCASSARLI NELLA TUA BANCA. DEDURRAI DALLA CIFRA IL 10%, QUALE COMMISSIONE PER L'ESERCIZIO DA TE SVOLTO, E TRASFERIRAI IL RESTO AL RAGIONIERE DELLA SOCIETA' PER MEZZO DI WESTERN UNION MONEY TRANSFER, MONEYGRAM INTERNATIONAL, ECC."

SI TRATTA DI UNA CLASSICA ATTIVITA' DI RICICLAGGIO DI DENARO SPORCO.

Ancora russi dietro al GPcode Ransomware?

2008-06-11T18:31:00.008+02:00

In questi giorni si fa un gran parlare di una nuova terribile versione del Ransomware Gpcode in grado di criptare con un algoritmo di cifratura forte (il che significa che senza chiave è praticamente impossibile decodificare i dati) determinati file contenuti nell'hard disk (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h e altri)
Lo scopo è naturalmente chiedere un "riscatto", che in questo caso puo' essere di 100/200 dollari.Dopo aver versato la somma verra' inviato un decrittatore.
Secondo Dancho Danchev dietro a questa operazione ci sarebbero dei russi.
La cosa davvero non è molto sorprendente visto che una parte consistente (la maggioranza) degli attuali cybercriminali provengono o da paesi dell'ex-unione sovietica o dalla cina.

Qui potete trovare il post che contiene alcune interessanti informazioni: http://ddanchev.blogspot.com/2008/06/whos-behind-gpcode-ransomware.html

Per chi ne volesse sapere di piu' puo' dare un'occhiata qui:

http://www.hwupgrade.it/forum/showthread.php?t=1759063

e qui

http://www.pianetapc.it/view.php?id=1078

Attualmente non so indicare la diffusione del malware sia a livello globale sia nel nostro paese.
KasperskyLab questa volta non è riuscita a risolvere il problema ed i tecnici della societa' hanno proposto uno sforzo comune per sconfiggere questa nuova infame minaccia.

Quindi l'unica cosa che vi posso raccomandare è un BACK-UP dei dati importanti

Capire RBN: dal virus Zlob ai siti di affiliazione per falsi antivirus

2008-05-15T18:09:00.094+02:00

Questa volta partiremo dal tentativo di trovare questo blog utilizzando un motore di ricerca per mostrare tutta una serie di
minacce e pratiche illecite dei cybercriminali di RBN (russian business network) e per cercare mettere in evidenza la gigantesca organizzazione che c'è dietro.
Supponiamo quindi di inserire su alcuni search engine (yahoo, live , clusty) la parola "maipiugromozon".
Come potete vedere nell'immagine qui sotto sono mostrate alcune pagine civetta costruite ad arte per infettare molto probabilmente su hosting gratuito. Ho scelto clusty per praticita', ma sono presenti anche su yahoo e live(msn)

Proviamo a visitare una di queste e veniamo subito reindirizzati, dopo un passaggio su lineacount.info che si trova sull'arcinoto range spazzatura ucraino 85.255.112.0 - 85.255.127.255 UkrTeleGroup,

su italianpornovideos.com [da non visitare assolutamente]

ospitato su un altro notissimo range spazzatura ad honk kong 58.65.232.0 - 58.65.239.255 HOSTFRESH sempre di RBN

lineacount.info individua la nazionalita' dell'ip del malcapitato e manda su una pagina che sostanzialmente obbliga a scaricare un falso codec video (virus Zlob)

Una cosa interessante è che nel sito pensato per i navigatori del bel paese , a differenza delle versione "internazionale", sono presenti 2 iframe malevoli.
Si tratta, quindi, di attacchi e malware specifici per il traffico italiano, che è stato sempre molto appetibile per RBN, probabilmente per via dei dialer.

Nel caso di visitatori che non provengono dal nostro paese lineacount.info dirotta, come gia' accennato, o su una pagina con falsi codec video senza iframe oppure verso un sito che mostra una scansione del pc del tutto fasulla al fine di farci scaricare un programma antivirus truffa.

Diamo un'occhiata ai domini (che in genere vengono cambiati spesso):

gli iframe puntano a:

1)adultxx-18.com  72.21.53.218  Layered Technologies inc.
societa' americana che viene spesso utilizzata da RBN per ospitare malware e siti relativi ad altre attivita'
illecite.

[nota] spesso i criminali di RBN usano server di Layered Technologies Inc, Theplanet e Everyones Internet , tutti hoster negli USA


2) my-istat.cc  203.186.128.153 ma anche qui non so dirvi se si tratta di un server RBN o semplicemente utilizzato da
RBN

Ovviamente questi 2 server sono pieni zeppi di exploit.

Il falso codec video invece si trova su
vm-codec2008.com 217.170.77.150 e questo dovrebbe appartenere ad un range malevolo: TimeWeb (217.170.77.0 - 217.170.77.255) in Russia

Tutti i domini sono registrati tramite la famigerata ESTDOMAINS, INC

A questo punto proviamo a fare un'analisi di Zlob. Inutile dire che non viene praticamente mai intercettato dagli antivirus perchè il file viene cambiato con una frequenza continua.
Ma non si tratta solo di una ricodifica dello stesso file.
Vengono modificati anche i server da cui il zlob fa scaricare ulteriori malware.

Qui sotto ho messo una serie di link relativi all'analisi con la sandbox di sunbelt di varie versioni di Zlob.
La cosa interessante è vedere la grande quantita' di server coinvolti.

ANALISI con la sandbox di varie versioni di Zlob:

https://cwsandbox.org/?page=samdet&id=138657&password=znbuu
https://cwsandbox.org/?page=samdet&id=126436&password=igxwa
https://cwsandbox.org/?page=samdet&id=127033&password=sazer
https://cwsandbox.org/?page=samdet&id=124030&password=xocfv
https://cwsandbox.org/?page=samdet&id=116795&password=cxxuh
https://cwsandbox.org/?page=samdet&id=98056&password=rbvjw
https://cwsandbox.org/?page=samdet&id=97319&password=gcjod
https://cwsandbox.org/?page=samdet&id=96783&password=qdxkz

Nell'ultima versione

Una curiosita' riguarda il fatto che in una versione il virus apre una connessione verso il vero server di microsoft - windowsupdate, probabilmente, ma si tratta di una supposizione, per indurre il malcapitato a scaricare attraverso uno stratagemma un falso aggiornamento.

Beyond The Network America 63.216.0.0 - 63.223.255.255 Usa

è molto interessante perche' in questo range sono presenti server spia di emule e per
falsi tracker per bit-torrent.
E' fortemente consigliato bloccare sia i range di Beyond The Network America
sia i seguenti:

Cernel 64.28.176.0 - 64.28.191.255 USA
InterCage, Inc. 69.50.160.0 - 69.50.191.255 USA
WEBALTA 77.91.228.180 - 77.91.228.189 Russia
Buildhouse Ltd. 195.93.218.0 - 195.93.219.255 Russia

Ma questa è solo una minima parte dei server che possono essere associati al fenomeno criminale RBN.
Molti altri li potete trovare nella blacklist di questo sito.

Prediamo ora un server a cui si collega una versione del malware ed in particolare 216.240.138.207

Qui sono presenti siti di falsi programmi ed anche un sito di affiliazione per diffondere quel tipo di spazzatura (ovviamente le scritte sono in cirillico)

easyspywarecleaner.com
infestop.com
winifixer.com
spy-rid.com
Advancedxpdefender.com
I-kerberos.com
ecc.

sempre su quel server possiamo trovare un falso sito porno stile youtube

youpornztube.com

E investigando un po' si puo' arrivare a delle pagine ormai offline che facevano promozione di alcuni siti riconducibili sempre alla cybercriminalita' organizzata russa
come klikrevenue , coolwebsearch , umaxlogin legati a spyware, vendita di falsi medicinali , truffe finanziarie ecc.

Per concludere RBN sostanzialmente usa 2 differenti strategie di attacco per infettare il vostro pc:

1) La prima si basa su astute tecniche di ingegneria sociale per ingannavi e farvi installare software:

principalmente Falsi codec video
o programmi truffa, in particolar modo Falsi (rogue) antivirus.

2) la seconda riguarda hack di siti legittimi, magari ad alto traffico con l'inserimento di iframe e/o javascript offuscati che attraverso exploit installano malware automaticamente

Oppure la attraverso la creazione di siti civetta, sempre con iframe e/o javascript offuscati, ben posizionati sui motori attraverso tecniche di SEO- (esempio: siti con migliaia di keyword tra le piu' utilizzate sul web)

Aggiornamento: ho corretto alcuni refusi ed errori grossolani :-)
Purtroppo non ho molto tempo da dedicare al blog e la qualita' ne risente

Cambia il server dell'infame MBR rootkit

2008-04-29T09:42:00.030+02:00

I domini dove è ospitato l'MBR rootkit (Backdoor.Win32.Sinowal.br)

eaoafir.com
hnoafir.com
ces2vif.com
fhv5vif.com
cyzmvif.com

Ora puntano a 71.6.218.207 California Regional Intranet, Inc. USA

Aggiornamento 30/4/08

Ora puntano a 66.240.209.93 California Regional Intranet, Inc. USA

Aggiornamento 07/5/08

ces2vif.com , eaoafir.com 74.50.117.49 Noc4hosts Inc USA
fhv5vif.com , hnoafir.com , cyzmvif.com 66.240.234.196 California Regional Intranet, Inc. USA

La societa' giapponese Tredmicro (Antivirus pc-cillin) segnala l'attacco che ricalca quello avvenuto verso l'Italia l'anno scorso piu' o meno nello stesso periodo (attacco con mpack) : lo definiscono un nuovo italian job

http://blog.trendmicro.com/one-year-later-italian-job-still-working-overtime/

Aggiornamento

Dopo una fitta corrispondenza con un analista di kasperskylab alcuni siti (ma non tutti) vengono bloccati dall'Av omonimo

Nell'immagine il sito ufficiale di monica bellucci.

PER I WEBMASTER:

- Rimuovere i seguenti script (di solito si trovano in fondo alla pagina ma non sempre)

PER GLI UTENTI:

- Fare una scansione con i tool per controllare se sieti infetti con il MBR rootkit/trojan Sinowal

PREVXCSI http://info.prevx.com/download.asp?grab=prevxcsi
ROOTKIT BUSTER http://www.trendmicro.com/download/rbuster.asp
GMER (solo per utenti esperti) http://gmer.net/gmer.zip

Aggiornamento 5/5/08

Sono ancora molti i siti infetti ospitati da aruba s.p.a. ma le cose sono migliorate.
Alcuni tra i piu' importanti come ad esempio quello di sabrina salerno sono stati bonificati.

Una cosa interessante riguarda www.comonight.com
perche' lo script malevolo non si trova nell'index
ma in un file chiamato bordo_flash.js

Aggiornamento 7/5/08

Riprende la notizia dell'attacco anche la stampa di Torino citando come fonte TrendMicro (l'articolo NON è aggiornato):

http://www.lastampa.it/_web/cmstp/tmplrubriche/blog/grubrica.asp?ID_blog=100&ID_articolo=217&ID_sezione=&sezione=

Aggiornamento 14/5/08

un lettore del blog mi segnala il seguente dominio:

cyzmvif.com che punta al solito ip:66.240.234.196

Come ti frego l'account su MSN

2008-04-27T23:35:00.005+02:00

Mi è arrivato nella casella di posta su hotmail il solito invito a scoprire chi mi ha bloccato o cancellato dalla lista di MSN/LIVE messenger

Il sito che dovrebbe offrire questo "servizio" è

www.blockccheckert.com Ip:78.108.88.43 Russia
www.blockcontandchecke.org stesso ip

Si tratta del solito trucco per rubare account di live/msn/hotmail a catena

NON comunicate mai a nessuno il vostro indirizzo msn e la password associata
e non inserite questi dati in nessuna form

Questo post ovviamente non è rivolto a specialisti della sicurezza :-)

Ancora siti italiani compromessi dalla gang del MBR Rootkit

2008-04-26T11:23:00.050+02:00

Veloce post per segnalare che ci sono siti web italiani compromessi con javascript offuscato che fanno installare un malware pericolosissimo ovvero l' MBR rootkit.

Sul sito di edgar c'è una lista di alcuni che hanno subito l'hack, tra i quali è presente anche il sito
della cantante Sabrina Salerno.

NON VISITATELI E SE LO FATE, SOLO CON FIREFOX E JAVA E JAVASCRIPT DISABILITATI

http://edetools.blogspot.com/2008/04/utilizzo-di-webscanner-nella-ricerca-di.htm l

il server da bloccare e' sempre lo stesso segnalato qualche giorno fa 71.6.151.188

Aggiornamento 29/4/08: ora è 71.6.151.207
Aggiornamento 30/4/08: ora è 66.240.209.93
Aggiornamento 07/5/08

ces2vif.com , eaoafir.com 74.50.117.49 Noc4hosts Inc USA
fhv5vif.com , hnoafir.com 66.240.234.196 California Regional Intranet, Inc. USA

Anche la percentuale di rilevazione su virus total è molto bassa.

Tra i vari exploit presenti sul server ci dovrebbe essere anche uno per acrobat reader. E' quindi necessario anche aggiornare il programma all'ultima versione disponibile.

I siti compromessi sono ospitati sui server di aruba s.p.a.

alcuni siti legittimi infettati:

www.sabrinasalerno.com [bonificato]
www.deegees.it [bonificato]
www.graphixmania.it [bonificato]
www.skuolasprint.it [bonificato]
www.custommania.com [bonificato]
www.giovaniudccasteltermini.com [bonificato]
www.fluidifikas.it [bonificato]
www.ristoreggio.it [bonificato]
www.jacopo81.it [bonificato]
www.sevenpress.com [bonificato]
www.fasterage.net [bonificato]
www.mrprofit.it [bonificato]
www.fondiesicav.info
www.cristianolucarelli.com [bonificato]
www.beverlyclub.net [bonificato]
www.romanotizie.it [bonificato]
www.bitgame.it [bonificato]
www.lafra.it [bonificato]
www.olderic.com [bonificato] ma usa un servizio di statistiche con dialer
www.decimacodserver.com [bonificato]
www.biancoscudati.net [bonificato]
www.elisabettagregoraci.net [bonificato]
www.monicabellucci.it [bonificato]
www.pearl-jam.it [bonificato]
www.poohforfans.com [bonificato]
www.illuweb.it [bonificato]
bloccostudentesco.org [bonificato]
www.certenotti.net [bonificato]
www.curvanordmilano.net [bonificato]
www.ifod.it [bonificato]
ecc.

Rootkit:

Un nuovo pericoloso range immondizia

2008-04-17T03:33:00.014+02:00

Prendo lo spunto da un interessante post di edgar riguardante l'hack di alcuni domini .it

http://edetools.blogspot.com/2008/04/aggiornamenti-vari-16-aprile.html

per fare una veloce analisi di un nuovo infame range spazzatura.

Partiamo dal seguente sito traffurl.ru ospitato su 78.129.166.30 sul quale sono presenti exploit.
Sullo stesso server sono ospitati anche i seguenti domini

1counter.info
Googleset.info
X-traff.info

notare qui sotto l'ip 58.65. 236.9 di Hostfresh HongKong il che vuol dire RBN (Russian Business Network)

il range da bloccare è 78.129.166.0 - 78.129.166.255 attribuito alla fantomatica FeelItaly LLC (Italy)

AS29131 RAPIDSWITCH Ltd - London UK - IP range involved - 78.129.128.0/17

feelitaly.net risulta registrato da un russo

Anche su castlecops c'è un post che conferma che sul range vengono ospitati malware

http://www.castlecops.com/Trojan_Downloader_malware8502.html

Un "distretto di polizia" con dialer: siti mediaset con statistiche infette

2008-04-17T01:39:00.011+02:00

I siti ufficiali delle fiction mediaset usano abbastanza incredibilmente il servizio di statistiche "gratuito"
www.webmeter.ws che notoriamente fa scaricare dialer. 6 minuti per la modica cifra di 15 euro :-)

Eccone alcuni:

hxxp://www.distrettodipolizia.tv/
hxxp://www.lamiaterra.mediaset.it/
hxxp://www.risdelittiimperfetti.tv/
htxp://www.stagioni.mediaset.it/main.htm
hxxp://www.grandidomani.mediaset.it/main.htm
hxxp://www.padriefigli.mediaset.it/
hxxp://www.cuorecontrocuore.mediaset.it/main.htm
hxxp://www.ilbellodelledonne.it/
hxxp://www.fiction.mediaset.it/fiction/lafigliadielisa/default.htm
hxxp://www.mastrangelo.mediaset.it/

non so se ce ne sono altri

Nel caso si risponda no, appare questo messaggio:

Inutile fare commenti perche' questa volta dovrei essere veramente duro.
Un conto è avere il sito compromesso con un iframe da cybercriminali abilissimi e superpreparati
e un altro è piazzarci volontariamente del codice senza sapere se è sicuro o meno.

NO COMMENT

Aggiornamento: il contatore malevolo dovrebbe essere stato rimosso dai vari siti mediaset

Cybercriminali sempre un passo avanti agli Antivirus

2008-04-15T23:25:00.014+02:00

Rapido post per segnalare ancora una volta quanto possano fare poco gli attuali antivirus contro i malware delle organizzazioni criminali che operano sul web.

Esempio:

hxxp://209.205.196.16/[edit]/chris0233/lu/dm_0233.exe

Questo dialer viene cambiato con molto frequentemente.
Forse ogni volta che viene intercettato da kaspersky AV.

Credo di aver inviato almeno tra i 10 e 15 sample dello stesso virus nell'arco di un mese alla famosa societa' russa.

Denominazione : Trojan.Win32.Radi.XX

Puntualmente il giorno dopo e spesso dopo appena qualche ora dall'aggiornamento della basi virali, Kaspersky mancava l'individuazione della minaccia.
Questo post trova motivazione proprio nel fatto che mi sono un po' scocciato di questa situazione.

I prodotti che basano la loro efficacia essenzialmente sulle firme virali non hanno nessuna possibilita' di svolgere in modo sufficiente il loro compito, ovvero quello di proteggere il pc degli utenti.

Le considerazioni fatte valgono anche per altri software presenti su virustotal non solo per kaspersky. Ne parlo soltanto perche' nonostante gli analisti siano piuttosto veloci nell'aggiornare il DB, i cybercriminali sono altrettanto rapidi nel ricodificare il malware ed eludere così questo tipo di protezioni.

Gli AV che riescono a bloccare questo virus stabilmente tramite l'euristica sono quelli che vedete
qui sotto:

Qui invece trovate l'analisi effettuata attraverso la sandbox di sunbelt:

http://www.cwsandbox.org/?page=details&id=209405&password=nhghe

Ci sono tutte le informazioni del caso (il virus crea il file winupdate.exe nella cartella C:\WINDOWS\ e aggiunge una chiave nel registro per essere eseguito)

Certo, quello che ho scritto non è una novita' ma ribadirlo ogni tanto non fa mai male.

La gang del MBR Rootkit ci riprova: compromesso con iframe ladestra.info

2008-04-11T20:51:00.013+02:00

Come gia' annunciato da Symantec il sito ladestra.info è stato compromesso con un iframe malevolo
che attraverso exploit fa scaricare ed installare automaticamente l'ultima versione del terribile
MBR Rootkit.

ATTENZIONE: In questo momento l'iframe è ancora presente per cui evitate di visitare questo sito e se proprio dovete, fatelo con FireFox con java e javascript disabilitati

L'ip da bloccare è 71.6.151.188 (cds5fir.com)

Per ulteriori informazioni vi rimando alla lettura dell'articolo sul blog di Symantec:

http://www.symantec.com/enterprise/security_response/weblog/2008/04/election_time_in_italy_complet.html

AGGIORNAMENTO

Nel caso abbiate visitato ladestra.info vi consiglio fortemente di fare una scansione con il tool antimalware prevx csi

http://info.prevx.com/downloadcsi.asp

e con l'antirootkit gmer

http://gmer.net/gmer.zip

AGGIORNAMENTO 2

Iframe malevolo rimosso dal sito la destra.info . cds5fir.com continua invece ad ospitare il malware e gli exploit.

Come al solito c'è un falso messaggio: " This domain for sale.
Try another domain. "

Compromesso emule-italia.it: Symantec stoppa l'attacco con il terribile Mebroot

2008-04-03T17:45:00.005+02:00

Secondo Symantec il giorno 2 aprile sarebbero stati compromessi vari siti con alto traffico, tra cui
emule-italia.it. La tecnica è sempre la stessa , ovvero inserire nel codice un javascript offuscato
che tenta di far scaricare attraverso exploit un malware. In questo caso si tratta dell'ultima versione del temibile Mebroot (un rootkit per il MBR).

Per maggiori informazioni vi rimando alla lettura del blog di symantec:

http://www.symantec.com/enterprise/security_response/weblog/2008/04/mebroot_spreading_through_high.html

Qui invece informazioni sul pericoloso malware:

http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html

Risarcimenti 899 e dialer: la class action di altroconsumo

2008-04-02T17:12:00.002+02:00

Tempo di risarcimenti per coloro che hanno ricevuto bollette astronomiche per via degli 899 e dei dialer. Altroconsumo tra raccogliendo segnalazioni per poter avviare una class action contro telecomitalia.

Per chi fosse interessato ecco il link diretto all'inziativa della famosa associazione che tutela i consumatori:

http://www.altroconsumo.it/map/src/198663.htm

Blog sulla sicurezza

2008-03-28T17:38:00.004+01:00

Onestamente non so quanto tempo potro' dedicare a "maipiugromozon" in questo periodo e proprio per questo motivo mi sembra oppurtuno segnalare alcuni interessanti blog sulla sicurezza che non sono nella lista dei link .

Questo elenco è preso sul forum dell'eccellente sito www.malwaredomainlist.com dove molto immeritatamente è citato anche il mio blog :-)

http://www.malwaredomainlist.com/forums/index.php?topic=1545.0%3btopicseen

Tra questi vorrei segnalare quello di Dancho Danchev che si è occupato in maniera molto approfondita del fenomeno criminale che ha creato maggiori problemi nel mondo in questi ultimi anni, ovvero il RBN Russian Business Network, fenomeno che ha interessato in maniera davvero preoccupante anche il web italiano.

Altrettanto interessante è il blog di Swatkat.

Una segnalazione speciale per quello dell'amico italiano edgar la cui iniziativa è nata dopo gli attacchi ai server del nostro paese, con mpack da parte dei soliti simpaticoni russi.

Colgo anche l'occasione per fare un grosso in bocca al lupo all'antipatico TNT :-) per il lancio di un nuovo antivirus ancora in Beta (del quale ignoro l'efficacia)

http://sunbeltblog.blogspot.com/2008/03/review-on-vipre-beta-by-cnet.html

Attenzione al sito www.antoniodipietro.org: javascript malevolo

2008-03-18T11:00:00.011+01:00

Aggiornamento flash del blog per segnalare un javascript offuscato che nasconde un iframe malevolo sul sito www.antoniodipietro.org. E' tempo di elezioni e il sito è ben indicizzato da google. Comunque non si tratta del sito ufficiale dell'ex PM di mani pulite.

Codice malevolo:

decodifica dello script qui:

il dominio kizadarai.info è ospitato sul server malese con Ip 124.217.247.212 di PIRADIUS-NET che è utilizzato da RBN (Russian Business Network)

Poiche' qui ho trovato molta immondizia potete bloccare tutto il range
124.217.224.0 - 124.217.255.255

Interessante notare che se digitate l'indirizzo nel browser vi apparira' il solito falso messaggio "Account has been suspended"

AGGIORNAMENTO: Javascript infetto rimosso dal sito antoniodipietro.org

Il dominio kizadarai.info continua ad ospitare un malware definito dagli analisti di Avira Virus Lab in questo modo:

The file 'load.exe' has been determined to be 'MALWARE'. Our analysts named the threat BDS/Agent.wxa. The term "BDS/" denotes a Backdoor-Server program. Backdoor-Server programs are used to spy out, modify or delete data.

Attenzione a Payperstats: ancora statistiche con malware

2008-03-11T18:55:00.024+01:00

Rapidissimo post per segnalare una nuova minaccia da parte dei soliti noti italiani. Sono anni che scassano con i dialer. Adesso si sono messi addirittura a lavorare con gli ucraini di Inhoster che sono notoriamente tra i peggiori criminali informatici del mondo.
Evidentemente stanno cercando nuove forme di "business"
Payperstats fa scaricare malware, per cui chi vuole usufruire dei loro servizi di statistiche per le quali si riceve un compenso x numero di visitatori, sappia che si sta rendendo complice di un reato.
Lo script inserito nella pagina cerca di far credere ai malcapitati che il loro pc è infetto come viene spiegato in questo post:

http://www.marcolancini.com/?p=620#comment-370

qui altri webmaster caduti nella trappola di inserire il contatore nel loro sito:

http://pollycoke.net/2008/03/09/avviso-ai-naviganti-virus-stagionale/

http://www.marcostella.net/2008/03/09/addio-payperstats-decisione-obbligata/

questo è il messaggio ingannevole con il quale cercano di ingannarci per farci scaricare il malware
MacroAntivirus.exe

Esempio dello script delle statistiche di payperstats in azione:

Icona file malevolo:

La prima cosa da fare è bloccare questo ip 64.237.33.148 dove sono presenti i malware.
Una volta eseguiti cercano di far scaricare altra immondizia da 85.255.114.141 che appartiene
all'arcinoto range di inhoster aka UkrTeleGroup Ltd. in blacklist da una vita come uno dei peggiori depositi di spazzatura esistente sul web

Purtroppo solo pochissimi Antivirus attualmente sono in grado di rilevare la minaccia:

Analisi tecnica del virus e ulteriori notizie appena avro' un po' di tempo

Per il momento potete dare un'occhiata ai risultati della sandbox di sunbelt

http://cwsandbox.org/?page=samdet&id=65321&password=fwnrp

AGGIORNAMENTO:

Leggetevi questo post. Evito di fare commenti perche' credo si capisca gia' cosa ne penso:

http://www.alverde.net/forum/discussioni-sulle-societa-che-non-hanno-pagato/89997-bannato-da-advmania.htm l

AGGIORNAMENTO 2

Anche se non è lo scopo di questo blog, che si occupa sostanzialmente di malware, aggiungo un paio di link che trovo abbastanza divertenti che riguardano gli sfoghi di gente coinvolta in questa vicenda. Evidentemente Advmania/Payperstats ha fatto molte vittime tra i webmaster e ne ha fatti arrabbiare parecchi.

http://www.coders4fun.com/2008/03/10/payperstats/it/

http://www.coders4fun.com/2008/03/14/truffa-payperstats/it/

Le superpotenze del malware: Russia al primo posto

2008-02-22T17:38:00.008+01:00

Secondo un interessantissimo articolo su cnet news , la Russia sarebbe balzata al primo posto nella produzione di malware.
la Fonte di tale notizia è PC Tools, una nota azienda che opera nel settore della sicurezza (SpywareDoctor , ThreatFire ecc.)

http://www.news.com/8301-13860_3-9875663-56.html?tag=nefd.top

http://www.threatexpert.com/map.aspx

La notizia non fa che confermare la tendenza che si era manifestata negli ultimi 2 anni e che io stesso avevo potuto osservare.

Interessante notare che la somma dei malware di russia, ucraina e cina sia il 60% di tutta la produzione mondiale.

Un'ultima nota di attenzione la merita la parte sull'infame RBN (russian business network) . Pctools sostiene che l'attiva' dei criminali russi si sarebbe spostata su server in Malesia, Cina, Panama, Singapore, Thailandia, Turchia e India.

La pacchia finisce il 30/6/08 "L'Authority: dal 30 giugno telefonate «a rischio» solo su esplicita richiesta"

2008-02-20T02:05:00.009+01:00

Una data storica che finalmente segnera' , si spera , la fine di un'epoca fatta di inganni e truffe ai danni degli utenti della telefonia fissa e di internet.

Il garante stabilisce il blocco dei numeri di telefono a tariffazione speciale (satellitari e 199, 899, 892, 178) per chi non li richiede per iscritto. Servirà un "pin" .

Per saperne di piu':

http://www.corriere.it/economia/08_febbraio_19/blocco_numerazioni_a_rischio_0e332974-df0e-11dc-9d37-0003ba99c667.shtml

Era ora.

AGGIORNAMENTO (dal messaggero di Roma)

http://www.ilmessaggero.it/articolo.php?id=19144&sez=HOME_NOSTRISOLDI

Tre tappe per arrivare al blocco. Dalla prossima estate, per effettuare una telefonata a numeri satellitari per servizi interattivi a sovrapprezzo, sarà necessario un "pin" appositamente richiesto. Senza il codice, le chiamate saranno automaticamente bloccate. Questa, in sostanza, la strada presa dall'Autorità «per contrastare radicalmente i fenomeni fraudolenti». Tre i passaggi per arrivare al blocco per tutti gli utenti:

dal 31 marzo il blocco dovrà essere reso disponibile sul mercato da tutti gli operatori, gratuitamente;

fino al 30 maggio gli utenti avranno il tempo di decidere se utilizzare le numerazioni a sovrapprezzo, richiedendolo espressamente all'operatore, oppure potranno immediatamente chiedere di essere bloccati;

dal 30 giugno, infine, per tutti coloro che non si saranno attivati, il blocco diventerà automatico, in base al meccanismo del silenzio-assenso.

Nuove tutele in arrivo. «La linea scelta dall'Autorità - si legge ancora nella nota - è quella della massima tutela dell'utenza, anche nelle sue fasce più deboli e meno attente. Con il blocco per default, infatti, solo coloro che effettivamente vorranno utilizzare le numerazioni a sovrapprezzo si vedranno fatturare i relativi addebiti». A questa nuova forma di tutela, tra l'altro, si aggiungerà, a breve, un'altra misura per il controllo della spesa: si tratta dei nuovi "tetti massimi" di costo per tutte le numerazioni, che entreranno in vigore con l'approvazione del nuovo piano di numerazione, ormai in dirittura d'arrivo».

E' finita la pacchia? "L'Antitrust blocca il distacco di linee Telecom"

2008-02-16T18:14:00.005+01:00

Per la serie Good News vi invito a leggere questo interessante articolo sul corriere della sera.

http://www.corriere.it/cronache/08_febbraio_16/telecom_distacchi_telefonici_f495cffa-dc9f-11dc-8a42-0003ba99c667.shtml

notare le aziende coinvolte nelle ispezioni:

ISTRUTTORIA - L'istruttoria è stata aperta nei confronti di Elsacom, che è una società controllata da Finmeccanica, a sua volta di proprietà statale, e di altre sette società per accertare eventuali «pratiche commerciali scorrette nei confronti di centinaia di consumatori»: sono «coinvolte Globastar Europe, Csinfo, Eutelia, Karupa, 10993 srl, Teleunit e Voiceplus». Ci sono già state ispezioni in tutta Italia in collaborazione con la Guardia di Finanza.

Particolarmente attivi nell'utilizzo di dialer sono stati eutelia spa tramite la controllata inglese
Teleasp ltd
e teleunit spa attraverso la societa' di Perugia proadvertising Srl

A questo punto direi :

NON PAGATE SE AVETE AVUTO DEL TRAFFICO ANOMALO !

Il peggio del peggio

2008-02-14T03:23:00.003+01:00

Un post sull'eccellente blog di sunbelt
http://sunbeltblog.blogspot.com/2008/02/dangerous-new-fake-american-greetings.html
ed in particolare analisi dell'ip associato al dominio
che ospita il malware [88.255.90.227] mi hanno dato lo spunto per scrivere queste poche righe

Senza scendere in dettagli vi consiglio vivamente di bloccare con il firewall
questo autentico range immondizia.
Si tratta di server utilizzati dai criminali di RBN (russian business network)
e gia' presenti da tempo nella mia blacklist


inetnum:        88.255.90.0 - 88.255.90.255
netname:        AbdAllah_Internet
descr:          AbdAllah Internet Hizmetleri
descr:          Etnografya Muze mevkii Kirazlik Mh. No:32 Rize
country:        tr
admin-c:        MAG87-RIPE
tech-c:         MAG87-RIPE
status:         assigned pa
mnt-by:         as9121-mnt
source:         RIPE # Filtered
route:          88.255.0.0/16
descr:          TurkTelekom
origin:         AS9121
mnt-by:         AS9121-MNT
source:         RIPE # Filtered

Nell'articolo seguente potete trovare alcune informazioni in merito:

http://www.joewein.net/fraud/host-abdallah-internet.htm

Ancora su italiancollection.in

2008-02-12T16:36:00.000+01:00

Ancora un approfondimento sul virus (con dialer) di cui ci eravamo occupati qualche settimana fa.
Ho fatto una velocissima decodifica dello script offuscato che fa scaricare il malware.

qui sotto potete vedere un'immagine nell'infame script malevolo in azione

la cosa interessante è che dando uno sguardo al server che ospita il malware ho trovato il solito
motore di ricerca fasullo con un logo che è una specie di marchio di fabbrica per una certa gang russa. Chi si occupa di sicurezza sa di chi sto parlando.

qui sotto l'n-esima conferma che mostra la nazionalita' di chi c'è dietro

USA e UE all'attacco della rete criminale russa RBN

2008-02-07T17:06:00.000+01:00

Segnalo un interessantissimo articolo su RBN (russian business network) e su come le autorita' statunitensi ed ora anche l'Unione Europea si stiano occupando (finalmente) del problema:

http://www.hwupgrade.it/forum/showthread.php?t=1672766

Il secondo riguarda l'infame network stormworm, una botnet di pc zombie (si tratta sempre di cybercriminalita' russa)

http://www.internetnews.com/ent-news/article.php/3724966

Speriamo che le cose migliorino presto anche se onestamente ho qualche dubbio

Applet infette con certificato

2008-02-04T18:26:00.000+01:00

Faccio un post rapidissimo che meriterebbe di certo maggiore approfondimento.
Una delle tendenze piu' assurde che si sta verificando in rete è la certificazione dei malware.
L'immagine qui sotto credo sia sufficientemente chiara:
Si tratta si un'applet java infetta

Nello stesso dominio dell'applet [retaguilas.com] avevo trovato anche banner in flash malevoli

Un virus "polimorfico" (con dialer) per navigatori italiani

2008-01-30T19:41:00.000+01:00

Qualche giorno fa a proposito della chiusura dell'infame sito Callsolutions ho ricevuto una interessantissima segnalazione da Gmg (un utente molto preparato di hwupgrade)
a proposito di un sito spara virus estremente pericoloso.
Da quello che ho potuto osservare dovrebbe trattarsi di un virus polimorfico che tenta di installare un dialer.

Il nome del dominio gia' ci fa capire a chi sia destinato il malware.

hxxp://italiancollection.in/[edit...]/info/exe.php?id=xx

Variando i numeri dopo ?id= cambia la codifica del file.

Non sono riuscito a fare analisi con la sanbox di sunbelt e quindi non so se possa essere attribuito alla famiglia dialcall (callsolutions)

La scansione su virustotal da i seguenti risultati:

Quello che ho potuto notare è la difficolta' di kaspersky 7 nel riconoscere tale virus polimorfico.
Non so se il modulo PDM sia in grado di intercettare la minaccia.

Alcuni sample che ho inviato sono stati successivamente individuati dall'antivirus russo come Trojan.Win32.Dialer.XYZ
ma l'efficacia del prodotto è scarsa.

AGGIORNAMENTO:

A quanto sembra il virus anche se estremamente difficile da rilevare in tutte le sue mutazioni
non sarebbe tecnicamente "polimorfico" (analisi di TNT)
Resta comunque una "brutta bestia"
Mi scuso per l'errore.....

AGGIORNAMENTO 2

Analisi di marco di pcalsicuro.com:

"Una definizione carina e corretta sarebbe 'manual polymorphism', cioè una sorta di polimorfismo manuale, indotto grazie ad un packer che permette una rapida ricompressione - tutto server side.

Il dialer utilizza un driver 'CommDrv.sys'. I numeri utilizzati sono:

899161323 (Operatore: Voiceplus)
00881939100516 (Operatore: GMSS)
1784402345 (Operatore: Eutelia)

Che la mano sia russa o comunque est asiatica non penso vi siano grossissimi dubbi:

Così come non fanno neanche lavorare troppo sull'identificazione del tipo di malware, visto che lo lasciano scritto direttamente loro nel codice:
Codice:
D:\Business\ADWARE\Dialer\CommDriver\
Il resto del codice, a parte il packer e qualche altra caratteristica, non è di grandissimo interesse."

Goodbye Callsolutions....

2008-01-28T17:12:00.000+01:00

Chiude callsolutions, il sito di affiliazione russo responsabile dell'infame rootkit dial.call che aveva preso di mira esclusivamente l'Italia
Non ci mancherai......

GMER(Anti-Rootkit) v1.0.14.14116 ,"all your rootkits are belong to us"

2008-01-24T15:33:00.000+01:00

Faccio un velocissimo post per segnalare l'uscita di una nuova versione dell'ottimo tool antirootikit Gmer.

Lo potete scaricare sul sito ufficiale

http://www.gmer.net/

Altri antirookit efficaci li potete trovare qui

http://antirootkit.com/software/index.htm

In particolare vorrei segnalare

IceSword
RootkitRevealer
DarkSpy
RootKit Unhooker il cui codice è stato rececentemente veduto alla Microsoft (e questo ne ha arrestato, almeno per il momento, lo sviluppo)

Utili e decisamente piu' semplici nell'utilizzo sono anche:

Panda Anti-Rootkit
F-Secure Blacklight
ecc..

SanPietroburgo capitale mondiale del cybercrime

2008-01-21T22:20:00.000+01:00

Secondo alcuni articoli sulla stampa internazionale (in particolare statunitense e britannica)
nella citta' russa risiederebbero gli ideatori della rete RBN - russian business network e di storm worm.

Per l'approfondimento segnalo alcuni interessantissimi articoli del washingtonpost, del daily mail
e di wired

http://blog.washingtonpost.com/securityfix/2008/01/unhappy_birthday_to_the_storm.html

http://www.dailymail.co.uk/pages/live/articles/live/live.html?in_article_id=503898&in_page_id=1889
h

http://blog.wired.com/sterling/2007/12/the-daily-mail.html

in particolare vorrei citare dal primo articolo:

"Dmitri Alperovitch, director of intelligence analysis and hosted security for San Jose, Calif.-based Secure Computing, said federal law enforcement officials who need to know have already learned the identities of those responsible for running the Storm worm network, but that U.S. authorities have thus far been prevented from bringing those responsible to justice due to a lack of cooperation from officials in St. Petersburg, Russia, where the Storm worm authors are thought to reside. In a recent investigative series on cyber crime featured on washingtonpost.com, St. Petersburg was fingered as the host city for one of the Internet's most profligate and cyber-crime enabling operation -- the Russian Business Network."

Dmitri Alperovitch [........... ] dice gli che agenti federali che avevano necessita' di sapere sono gia' a conoscenza delle indentita' dei responsabili che gestiscono lo storm worm network , ma alle autorita' statunitensi è stato finora impedito di portare i responsabili davanti alla giustizia per via della mancanza di cooperazione tra i funzionari di SanPietroburgo, Russia, dove gli autori di Storm worm si pensa risiedano. In una recente serie di articoli di indagine sul cybercrime messi in evidenza sul washingtonpost.com, S.Pietroburgo era stata indicata come la citta' ospitante una delle operazioni piu immorali messe in atto dal cybercrime su Internet - Il Russian Business Network

***

"Alperovitch blames the government of Russian President Vladimir Putin and the political influence of operatives within the Federal Security Service (the former Soviet KGB) for the protection he says is apparently afforded to cybercrime outfits such as RBN and the Storm worm gang"

Alperovitch biasima il governo del presidente russo Putin e l'influenza politica di funzionari all'interno del FSS (ex-kgb) per la protezione che evidentemente è fornita a gruppi di cybercriminali come ad esempio RBN e la gang di Storm Worm.

***

"The right people now know who the Storm worm authors are," Alperovitch said.It's incredibly hard because a lot of the FSB leadership and Putin himself originate from there, where there are a great deal of people with connections in high places."

Le persone giuste ora sanno chi sono gli autori di storm worm Alperovitch dice
E' incredibilmente difficile perche' un sacco dirigenti del FSB e Putin stesso provengono da li (SanPietroburgo), dove ci sono moltissime persone con agganci in alte sfere.

***

Quindi, per quanto mi riguarda, credo che dovremmo convivere con i malware e con altre schifezze simili nei prossimi anni.
Se da un lato si potra' tentare di rendere piu' sicuri i nostri computer con software (s.o. robusti, hips, virtualizzazione, sandbox, antivirus) e adeguate politiche di sicurezza dall'altro sara' necessario essere molto diffidenti per non cadere nelle trappole di ingegneria sociale di criminali senza scrupoli .

P.s. grazie a TNT per la segnalazione dell'articolo :-)

Un nuovo worm si diffonde attraverso msn-live messenger

2008-01-12T18:56:00.000+01:00

Ieri mentre ero impegnato in una conversazione su msn-live messenger ho ricevuto un file zip (NewPicture031.JPEG-www.FreeUploads.zip) che all'interno aveva un bel virus.

L'analisi tecnica la potete gia' trovare nell'ottima sandbox di sunbelt:

http://www.cwsandbox.org/?page=details&id=70211&password=npdsw

Attualmente solo pochissimi antivirus sono in grado di individuare la minaccia, quindi attenzione.

Aggiornamento: per verificare se siete infetti da questo virus potete utilizzare l'ottimo tool gratuito prevxcsi

prevxcsi http://info.prevx.com/downloadcsi.asp

Iframe nel blog di un esperto di sicurezza dell'AV F-prot

2008-01-12T02:14:00.000+01:00

Tempo fa leggevo sul sito pcalsicuro il seguente post ad opera dell'amico marco:

l’amico Michael St. Neitzel, technical spokesman e senior antivirus architect per FRISK, mi ha appena dato la notizia di aver riaperto il proprio blog. Un’interessantissima fonte di informazioni da tenere sempre sott’occhio

FRISK è la societa' islandese che produce l'Antivirus F-prot.

Credo che le immagini dicano tutto:

NO COMMENT :-)

Aggiornamento: iframe malevolo rimosso

ll falso PornTube , una nuova trappola degli ucraini di inhoster

2007-12-18T19:47:00.000+01:00

Tempo fa mi ero soffermato sui pericoli del virus Zlob
e sulle strategie di diffusione di questo malware. In genere i cybercriminali cercano di far passare il file infetto per un codec video indispensabile per la visione di un filmato pornografico.

La pagina su cui sono capitato è veramente un capolavoro di ingegneria sociale.
Un falso sito stile YouTube

I modi per cercare di ingannare gli utenti sono sempre piu' astuti.

Per quanto riguarda aggiornamenti su RBN (Russian Business network) direi che ho trovato svariati articoli online, in particolare scritti dalla stampa britannica. In UK il furto di identita' ad opera della cybercriminalita' (ed i russi di RBN sono in prima linea) è diventato un gravissimo problema e le autorita' competenti stanno tentando in tutti i modi di metterci una pezza.

Alcune informazioni sull'infame network le potete trovare qui:

http://en.wikipedia.org/wiki/Russian_Business_Network

http://www.smh.com.au/news/security/the-hunt-for-russias-web-crims/2007/12/12/1197135470386.html

Secondo alcune indiscrezioni
il creatore e leader dell'organizzazione criminale RBN conosciuto con il nick "Flyman" sembra essere un 24 enne laureato in "computer science" imparentato con un potentissimo ed autorevole uomo politico russo (alcuni dicono che sia il nipote).

Sembra che un portavoce dell'ambasciata russa in UK abbia prima negato la conoscenza di RBN
e poi abbia suggerito che la struttura ha la sua base in Inghilterra.

In realta' alcuni ricercatori specializzati in sicurezza dicono che sia una specie di mostro con piu' teste, con vari dipendenti e societa' in varie citta' europee oltre che ovviamente nella natia Russia.

Quanti in Italia sono a conoscenza di questa terribile minaccia?

Tutti a caccia di RBN (russian business network)

2007-11-29T22:01:00.000+01:00

Sembra finalmente che il problema della cybercriminalita' russa stia venendo prepotentemente a galla e il numero di articoli e blog che si occupano di questa piaga cresce rapidamente.

In particolare ci sono pezzi sul washington post, l'economist , il guardian.

N.B. RBN è sostanzialmente quello che io ho definito (per quelli che leggono questo blog)
l'infame gang russa/ucraina CoolWebSearch/gromozon/estdomains/intercage/inhoster/rbn ecc.

Qui sotto potete trovare uno studio molto approfondito e alcuni articoli su questi simpaticoni.
Ho cercato fare un collage per permettere di avere una visione piu' chiara di quello che sta avvenendo sul web:

http://www.bizeul.org/files/RBN_study.pdf

http://news.independent.co.uk/sci_tech/article3201842.ece

Mi sembra che in questo articolo ci sia una inesattezza si parla di panama per i server di RBN
Ma in realta' i server che dal whois risultano a panama sono fisicamente in Russia

http://www.guardian.co.uk/technology/2007/nov/15/news.crime

di questo articolo sottolineo un passaggio:

According to experts from Team Cymru, a research group specialising in internet crime, the Russian firm is linked to around 60% of all cybercrime.
secondo gli esperti di team Cymru, un gruppo di ricerca specializzato nella criminalita' su internet, l'azienda russa è collegata al 60% di tutto il cybercrime

http://www.theinquirer.net/gb/inquirer/news/2007/11/08/alleged-russian-crime-hosting

altro passaggio che vale la pena sottolineare che è un'amara riflessione:

"The Romans built these roads to access the vast areas they had conquered. But, in the end, these same roads led to Rome's downfall"

I romani (gli americani) hanno costruito queste strade (internet) per accedere alle vaste aree che hanno conquistato. Ma alla fine le stesse strade hanno condotto alla caduta di Roma (cybercriminalita')

alcuni articoli di punto informatico:

infine consiglio la lettura del blog

http://rbnexploit.blogspot.com/

Un zlob al giorno toglie l'antivirus di torno

2007-11-17T23:51:00.000+01:00

Faccio un rapido post per segnalare ancora una volta quanto siano poco efficaci gli antivirus che hanno ben poche possibilita' di spuntarla contro gli attuali cyber criminali.
In particolare ho potuto notare la rapidità con cui vengono cambiati i malware su alcuni siti.
Non si fa a tempo a mandare un virus per l'individuazione che immediatamente dopo c'è una variante che non viene identificata.
Nello specifico alludo a virus della famiglia Zlob.

Vorrei anche segnalarvi questo blog che ne sta fecendo un bell'elenco:

http://peki.blogspot.com/

Indovinate un po' dove sono ospitati e da chi è stato registrato il dominio? :-)
Chi legge questo blog di sicuro non sara' sorpreso.

Work in progress........

Ulteriori approfondimenti per quanto riguarda il massiccio uso di siti civetta *.cn (cambia il dominio ma i farabutti sono sempre gli stessi) li potete trovare qui:

http://sunbeltblog.blogspot.com/2007/11/breaking-massive-amounts-of-malware.html

Kaspersky Antivirus perde efficacia?

2007-11-15T21:28:00.000+01:00

Velocissimo post per mettere l'accento su alcuni problemi di aggiornamento delle basi virali del famoso ed efficiente antivirus russo che ho riscontrato in questi giorni. La velocita' di analisi dei malware e il conseguente aggiornamento delle basi virali è da sempre stato un punto di forza di kasperskylab ma ultimamente ho potuto verificare che questa caratteristica sta venendo meno.
Facciamo 2 esempi pratici con 2 nuovi malware:

Il primo é quello che alcuni AV definiscono Trojan:OSX/DNSChanger.AT o OSX/RSPlug.A
ovvero spazzatura per Apple OSX

Ho mandato il file a Kaspersky circa 15 giorni fa e ho ricevuto risposta, 24 ore dopo, che il file era infetto e sarebbe stata inserita la firma nell' aggiornamento successivo.

Stessa cosa per il file che un analista della loro societa' definisce

Trojan-Downloader.Win32.Delf.cyb

Si tratta dell'n-esimo falso codec video targato Inhoster (Ucraina) descritto in questo post
su castlecops.

http://www.castlecops.com/p1022350-Nasty_codec_iedefender.html

Attuamente nessuno dei 2 virus sono rilevati dall'AV cosa che non mi era mai capitata prima dopo che avevo ricevuto mail di conferma.
Non si capisce davvero questo ritardo nell'update delle basi che di solito è fulmineo.
Forse i problemi tra i coniugi kaspersky stanno portando ad un ridimensionamento dell'organico della societa'?
Difficile dirlo.
Aspettiamo i nuovi test per trarre qualche conclusione ma anche l'esperienza personale ha un peso determinante per la scelta di un prodotto.
La cosa che vorrei è che ci fosse finalmente una societa' AV italiana di grande livello
che possa competere con i giganti internazionali, visto che ormai molti paesi europei ne hanno una.
Questo sarebbe utilissimo nel caso in cui ci fossero attacchi mirati verso il nostro paese.
I tempi di reazione sarebbero in quel caso decisamente minori.

In questa pagina ci sono le nazionalita' delle principali societa' antivirus del mondo

http://av-tests.com/index.php?sub=viren&menue=5&lang=0

come potete vedere manca l'Italia

Aggiornamento:

i virus vengono finalmente riconosciuti da kaspersky 7 come:

Trojan.Mac.Dnscha.dmg
Trojan-Downloader.Win32.Delf.cyb

Gli sfotto' di callsolutions

2007-11-13T19:24:00.000+01:00

Certo che oltre ad essere truffato uno debba essere anche preso per il sedere è veramente
troppo :
Qui potete vedere un bel banner pubblicitario della famigerata societa' russa/ucraina (societa' non è la parola giusta, meglio dire cybercriminalita') che sta dietro al rootkit Dialcall, ovvero uno di quei malware studiati appositamente per il traffico italiano.
Callsolutions si occupa solo del nostro paese.

(meglio andarci con la sandbox abilitata non si sa mai :-) )

hxxp://docentdesign.com/banner/berlusconi.swf

Il sito dei webdesigner di callsolutions

Il sito su cui si trova il banner (registrato dalla solita ESTDOMAINS, INC.) è un server
di UAONLINE (Ucraina online) e si trova in UK. Sul range appartente a questa societa'
potete trovare moltissima spazzatura.

Forse ce lo meritiamo se questi rubagalline da 2 soldi ci prendono di mira, visto che facciamo di tutto per non tutelare gli utenti del web nel nostro paese.

"Sondaggione semiserio"

2007-11-10T08:30:00.000+01:00

Per spezzare un po' ripropongo il sondaggione per sapere cosa ne pensate di questo blog :-)

Ancora sul riciclaggio di denaro sporco

2007-11-08T02:02:00.000+01:00

Torno velocemente sull'argomento false offerte di lavoro per riciclare denaro di provenienza illecita. E figuriamoci se non c'è qualche fesso di italiano che mette a disposizione il suo conto corrente per spedire i soldi in Russia, Cina o India

http://www.anti-phishing.it/news/articoli/news0711072.php

Aveva messo a disposizione il proprio conto corrente per ricevere denaro sottratto attraverso il phishing e reinviarlo ai propri complici in Russia; adesso un 59enne residente a Frosinone è stato denunciato dalla Polizia Postale di Cremona con l’accusa di riciclaggio di denaro.

L'uomo è accusato di essersi reso complice, tra l'agosto e il settembre scorsi, di phishing, in italiano “spillaggio di dati sensibili”, un' attività truffaldina che sfrutta una tecnica di ingegneria sociale ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici.

Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc. Il 59enne, che fungeva da prestanome, era riuscito ad entrare nei conti correnti di alcuni cremonesi, adescati con messaggi “trabocchetto”, che sembravano provenire dai propri istituti di credito, racimolando una somma complessiva di 20mila euro.

L'uomo, intestatario di un conto corrente, aveva ritirato il denaro trattenendosi una percentuale e il resto lo aveva inviato in Russia ai suoi complici, rimasti per ora senza nome. Gli agenti su mandato della Procura di Repubblica di Cremona, hanno anche effettuato una perquisizione a Frosinone in casa del 59enne, trovando e mail, ricevute di prelievo e quant'altro.Il suo computer è stato sequestrato.

Vittime di questo ingegnoso raggiro, dunque, molti cremonesi che hanno perduto i propri soldi. «Le denunce» ha sottolineato la dirigente Lombardi, «sono arrivate numerose sui tavoli degli agenti della polizia postale di Cremona agli inizi di settembre di quest'anno». In un caso, in particolare, un cremonese è stato derubato di tutti i risparmi che aveva sul conto.

Ma dico io invece di farci vedere le chiappe di qualche sgallettata da 2 lire in TV perche' non informano le persone dei pericoli che si corrono sul web?

Per quanto riguarda invece il sito i-western.com mi pare che il numero di italiani che ci sta cascando cresca di giorno in giorno.
Sono gli unici che nel forum scrivono il loro indirizzo (come avevo gia' mostrato nel post precedente).

In questo momento sono almeno 10.Che tristezza.

L'infame mondo dei programmi di affiliazione

2007-11-06T21:32:00.001+01:00

Nuovo post per affrontare un tema che avevo gia' trattato tempo fa.
I programmi di affiliazione che alcuni criminali informatici offrono ai webmaster di tutto il mondo.
Di cosa si tratta?
Molto semplice: questi signori pagano (o meglio dichiarano di pagare, perche' di certo sono le persone meno affidabili che esistano sul web) in base al numero di installazioni fraudolente che riescono ad ottenere.

In sostanza si tratta di inserire un loro codice nel nostro sito (in genere si tratta di un iframe o un javascript)
in maniera tale che non appena un visitatore accede viene immediatamente infettato con un malware

A quel punto il pc del malcapitato è in balia di questi criminali
che possono

rubare dati sensibili come password per conti correnti
e numeri di carta di credito
utilizzare il pc per attacchi Ddos o per l'invio di spam
dirottare la navigazione sul web

Ovviamente sanno quanti soldi possono fare (rubare) attraverso queste infezioni ed in base
a quello hanno un tariffario.

Noi italiani siamo dei polli da spennare molto appetibili (in genere siamo il traffico migliore dopo gli australiani)

Mentre facevo il solito giretto esplorativo su quella porcheria che si chiama Russian Business network utilizzato da tutti i cybercriminali del mondo sono capitato su questo bel sitarello (gia' è sparito)

da qui un link mi ha portato su una pagina che ci offre un meraviglioso elenco di farabutti.

tra questi saltano subito all'occhio i "famosi"

ZangoCash (credo americani)
IframeCash (russi)
KlikRevenue (russi)

in particolare in futuro ci occuperemo di questi ultimi.

Riciclaggio di denaro sporco

2007-11-02T08:53:00.000+01:00

La carenza cronica di lavoro ed il precariato sono condizioni utili a tutta quella serie di truffatori senza scupoli che operano sul web. Mi è sembrata perticolamente interessante una segnalazione di antiphishing.it. Questa volta tutto sembra architettato a regola d'arte e la mail è particolarmente convincente. Tutti i dettagli sono reperibili qui:

http://www.anti-phishing.it/news/articoli/news311007.php
Il nome della falsa società è Infinity Western, raggiungibile dagli indirizzi web i-western.com, infinityw.com e infinitywesternsite.com, la quale esattamente come i suoi predecessori coinvolgerà i malcapitati utente che chiederanno di essere “assunti” in un attività di riciclaggio di denaro sporco punibile ai sensi dell’art.648-bis con un periodo di reclusione tra i 4 e i 10 anni.

L'immagine del sito:

Ho fatto un giretto sul loro forum ed ho trovato gia' nostri connazionali che che hanno abboccato.

Vista la buona qualita' con cui e' stato scritto il testo della lettera direi che si tratta di una organizzazione di italiani e gente dell'est europa (probabilmente rumeni).
I server che ospitano i siti associati sono tutti in Romania.

Attenzione quindi a chi vi chiede di aprire un conto corrente e far transitare del denaro ricompensadovi con una percentuale.
Si tratta di RICICLAGGIO DI DENARO SPORCO (le pene sono anche piuttosto severe)
E' ovvio che questo denaro è di provenienza illecita perche'
se non fosse così una azienda non lo affiderebbe certo ad uno sconosciuto contattato tramite mail spedite a milioni di persone.

Aggiornamento:

il sito è ospitato attualmente dai seguenti server:

87.70.125.106 israele
89.139.121.5 israele
70.234.212.160 USA
77.81.209.197 romania
82.81.112.213 israele
69.230.187.254 USA
89.139.231.221 israele

ed altri italiani si aggiungono al forum (brutto segno)

Aggiornamento 2

i server ospitanti i siti continuano a variare

80.133.192.99 germany
82.78.230.222 romania
87.11.108.92 italia
89.139.173.88 israele
79.114.100.44 romania

Aggiornamento 3

I server contnuano a cambiare un meccanismo dinamico.
Questa è l' n-esima conferma che si tratta di una truffa.

Exploit su una vulnerabilita' dei PDF massacreranno milioni di computer italiani?

2007-10-29T23:29:00.000+01:00

IMPORTANTE!!

E' noto da tempo che le versioni 8 e precedenti del famoso software di adobe, acrobat reader contengano una vulnerabilta' piuttosto seria. Ovviamente questa notizia non poteva non fare gola a molti crimininali informatici ed in particolare ai nostri carissimi amici russi di RBN.

Una notizia riportata dal seguente sito è davvero molto preoccupante e ne riporto il testo integralmente:

http://www.enews20.com/news_Russian_Hacker_Team_Responsible_for_Attacks_Using_PDF_Files_03356.html

By Daniel Nicholas
00:09, October 28th 2007

A security researcher has recently reported that the ongoing attacks using malicious PDF files are caused by one of the most notorious Russian hacker groups, called the Russian Business Network of RBN.

So, according to Ken Dunham, iSight Partners Inc.’s director of response, it is the Russian Business Network’s members that are behind the recent attacks that use malware-armed PDF attachments. These malicious PDF files have started to appear in the users’ email accounts’ inboxes starting this Tuesday and they have already started to succeed in infecting the Windows systems, which have been their initial targets.

This type of attack is installing on the infected computer system a pair of rootkit files that “sniff and steal financial and other valuable data”, as Ken Dunham has said. The computers could easily get infected because the Russian cybercrimilas use PDF documents that seem to be quite all right. However, the corrupted PDF files are being sent through spammed emails and arrive with filenames such as YOUR_BILL.pdf, BILL.pdf, STATEMENT.pdf or INVOICE.pdf

The Russian hackers have exploited the “mailto:” protocol vulnerability that has been disclosed by the U.K.-based security researcher Petko Petkov. The users have just to open the attacking PDF file, and the Trojan called Pidief.a is already launched and knocks out the Windows firewall. Pieces of malware are downloaded the computers is compromised. This is why this represents a highly dangerous type of attack and we all should be careful with the PDF spamm email.

Considerando il numero enorme di pc che contengono versioni di acrobat reader non aggiornate la situazione potrebbe diventare ben presto catastrofica.

Io stesso ho appena effettuato un controllo con secunia software inspector e sono risultato vulnerabile:

AGGIORNATE IMMEDIATAMENTE ACROBAT READER!

Su segnalazione di TNT cito questo interessantissimo articolo.

http://www.eweek.com/article2/0,1895,2209010,00.asp

Di questo scritto metto in evidenza un passaggio:

a group affiliated with the Gromozon Trojan and the LinkOptimizer Trojan attacks started to spread their own brand of malware using a variation on the PDF exploit, he said.
Using names like "report.pdf" and "debt.2007.10.31.816537.pdf", the PDF file installs several different pieces of malware, including the Zeus variant of the PRG Trojan. It uses anti-debug/anti-VMware tactics to evade analysis and slowly downloads other files to the infected host via BITS (Background Intelligent Transfer Service), a lightweight HTTP-based protocol that is usually allowed through firewalls because it's what Microsoft Update uses, Jackson said.
The new PDF malware is communicating back to servers that are not on the Russian Business Network, but instead have addresses in Malaysia, although SecureWorks is detecting data on the malware that's in Russian.

Forse siamo alla vigilia di un nuovo devastante attacco della portata simile se non superiore a quella di gromozon/linkoptimizer da parte dei soliti noti

Il paese dei balocchi per i truffatori con dialer

2007-10-26T10:32:00.000+02:00

Giro una notizia così come l'ho appresa stamattina da antiphinshing.it ed è talmente interessante che ne copio integralmente il testo:

Sono impressionati i numeri che emergono dall’ultima operazione condotta dalla Polizia Postale che ha permesso i interrompere una maxi frode con numeri a valore aggiunto 899 compiuta esclusivamente da due persone ed in grado di fruttare ben 6 milioni di euro.

Un cittadino italiano e uno russo, sono stati denunciati all'autorita' giudiziaria della Spezia con l'accusa di aver truffato 67 mila utenti per un importo complessivo di 6 milioni di euro.

Le indagini, durate sei mesi, fa sapere una nota della polizia postale, che ha curato l'inchiesta, sono partite dalla denuncia di 74 cittadini spezzini che hanno subito una serie di truffe perpetrate attraverso la numerazione 899.

I cittadini avevano ricevuto fatture telefoniche esorbitanti per connessioni internet abusive ed occulte verso le citate numerazioni. I truffatori erano stati particolarmente abili nell'uso delle tecnologie informatiche, sfruttando la vulnerabilita' dei sistemi operativi dei computer degli utenti che a loro insaputa venivano dirottati sui numeri a pagamento.

Durante le indagini sono state effettuate perquisizioni nella sede legale di una societa' di San Marino e nell'abitazione di un cittadino di Rimini, dove si trovavano i server, che sono stati sequestrati.

I particolari dell'operazione, saranno resi noti domani mattina alle 11, (26 ottobre ndr.) durante una conferenza stampa nella sede della Polizia Postale e delle Comunicazioni della Spezia. [Tratto da AGI]

Fonte: Anti-Phishing Italia

Per contrastare queste frodi basterebbe una leggina di 3 righe, ma tutti guadagnano con questa spazzatura, ministero delle comunicazioni compreso.

Nuovi alleati anti CWS/Gromozon

2007-10-24T23:59:00.000+02:00

Faccio come al solito un velocissimo post per segnalare un blog che mi pare abbia preso sul serio la lotta agli amici russi/ucraini di cui ci siamo occupati su questo spazio:

http://rbnexploit.blogspot.com/

Il termine per definire i simpaticoni è RBN (Russian Business Network)

In verita' potremmo usare mille definizioni diverse ma grossomodo la gente e' sempre quella li'

Alcuni nomi della galassia che io definisco Coolwebsearch/Gromozon:

(gromozon/linkoptimizer è il nome del virus che ha causato moltissimi problemi quasi esclusivamente in Italia)

RBN
Estdomains
atrivo/intercage
cernel
Inhoster
NETCATHOST
Klikrevenue
UAONLINE
Beyond The Network America
Too Coin Software Limited
Upl telecom CZ
Pilosoft
MEDIADAT-MOLDOVA
DATAPOINT-NET
RUSONYX-NET
NETHOUSE-MOSCOW
AKIMON-NET RBN
LINO-NET Israele
ecc.

Un altro sito che mi sembra particolarmente utile è :

http://www.malwaredomainlist.com/mdl.php

Falsi programmi - Rogue applications

2007-10-21T10:41:00.000+02:00

Solito post rapidissimo per mostrare una serie di domini graficamente ben fatti che contengono applicazioni malevole. Si tratta nello specifico di

falsi codec video
falsi client per bit-torrent
falsi download manager
falsi tool di compressione
falsi mediaplayer

Quindi come potete vedere i creatori di malware ampliano la tipologia di programmi dai falsi antispyware/antivirus a una serie di utility di vario genere.

1) 3wplayer.com
2) bitdownload.org
3) bitgrabber.com
4) bitroll.com
5) c4dl.com
6) cash4downloads.com
7) cv.netpumper.com
8) download.netpumper.com
9) get-torrent.com
10) inside.3wplayer.com
11) netpumper.com
12) playon.play3w.com
13) plugindl.com
14) torrent101.com
15) torrentq.com
16) torrentsoftware.org
17) winzix.com
18) zaebb.play3w.com
19) divoplayer.com

i siti sono tutti sull'ip 69.72.144.122 mentre i file sono ospitati su 67.15.107.166.

il file viene rilevato da kaspersky 7 come Trojan.Win32.Obfuscated.en

Siti civetta sempre piu' ingannevoli

2007-10-13T08:13:00.000+02:00

Prendo spunto da una segnalazione che aveva fatto tempo fa GmG per mostrare una serie di siti particolamente ingannevoli ospitati da un altro dei famigerati hoster dell'allegra compagnia di infamoni russi di cui si occupa questo sito.
La societa' è UPL telecom s.r.o. e si trova in repubblica ceca. (qui ho trovato solo immondizia)
Il range si trova da tempo in blacklist pero' il numero di siti e la particolare cura che hanno messo per infettare come al solito SOLO utenti italiani merita una certa attenzione.

Ecco alcuni esempi:

acquedotto.info
adusbef.info
agenziaspazialeeuropea.info
chemioterapia.info
giochi-olimpici.info
stazionespaziale-internazionale.info
ecc.

il numero dei domini registrati dovrebbe essere dell'ordine delle migliaia e moltissimi non sono ancora attivi.

Una lista abbastanza completa l'ho postata sul forum sicurezza di hwupgrade

http://www.hwupgrade.it/forum/showthread.php?p=19127554#post19127554

come potrete vedere nelle immagini non si tratta della solita accozzaglia di keyword senza nessuna correlazione ma di sitarelli con informazioni anche utili.

Diamo un'occhiata al codice senza andare ad approfondire troppo:
sul fondo della pagina c'è il solito iframe malevolo e un "contatore".

qui c'è il seguito

Ovviamente questo punta un server che attraverso exploit tenta di farci scaricare un malware.

Le tecniche di infezione sono sempre le stesse.

AGGIORNAMENTO ore 22:30 16/10/07

all'interno del codice delle pagine hanno aggiunto

questa stringa di codice per pubblicizzare l'n-esimo falso antispyware.

sull'ip 203.121.79.55 (malesia)

ci sono anche questi altri falsi antimalware

1) secure.isoftpay.com
2) ISoftPay.Com Secure Order Page
3) ISOFTPAY.COM" gping="&POS=10&CM=WPU&CE=3&CS=AWP&SR=3&sample=0
4) magicantispy.com
5) magicantispy.com" gping="&POS=16&CM=WPU&CE=9&CS=AWP&SR=9&sample=0
6) malware-alarm.com
7) scanner.spy-shredder.com
8) scanner.xmalwarealarm.com
9) scanner.xspy-shredder.com
10) spy-shredder.com
11) spyshredder-scanner.com" gping="&POS=11&CM=WPU&CE=4&CS=AWP&SR=4&sample=0
12) winxdefender.com

ed anche

Adwareremover2007.com
Drives-cleaner.com
spy-shredder.com
ecc.

IMPORTANTE OSSERVARE L'IMMAGINE SEGUENTE

Domain Name: ISOFTPAY.COM
Registrar: ESTDOMAINS, INC.
Whois Server: whois.estdomains.com

Ci truffano addirittura utilizzando una connessione con protocollo sicuro https che solitamente
garantisce che dietro ci siano aziende affidabili . Estdomains ha ridotto il web ad un immondezzaio.

Traffico italiano merce pregiata per i truffatori del web

2007-09-29T23:38:00.000+02:00

Faccio un post rapido che non credo aggiugera' nulla di nuovo a quello che gia' sanno coloro che leggono questo blog, ma volevo sottolineare quanto siano presi in considerazione gli utenti italiani come potenziali vittime di diffusione di malware, trojan-clicker e dialer.
Molta di questa gentaglia paga centinaia di dollari per avere dirottati sulle loro pagine trappola nostri connazionali perche' ovviamente sanno che una buona percentuale si infettera' attraverso exploit e questo consentira' loro di avere un facile guadagno.
Io stesso ho trovato molte offerte di questo tipo su svariati forum di webmaster. Ovviamente l'unico contatto era un numero di ICQ.
Per chi avesse la tentazione di mettersi in affari con queste gang sappiate che sara' la prossima vittima di qualche fregatura.

Qui potete vedere come ci siano script ad hoc solo per il traffico italiano.

versione italy:

versione noitaly:

Tutto questo è veramente irritante. Gia' la cosa è insopportabile se fatta da nostri connazionali ma adesso che il fior fiore della delinquenza informatica dell'est-europa si sia messa a rompere le scatole in questo modo è troppo.

Non appena avro' tempo mettero' dei link che mostreranno le belle facce di quelli che sono dietro ad una dell'organizzazioni piu' infami che esistono nel web. E' composta da russi.
Così uno si toglie qualche curiosita' :-)

Vi invito a leggere poi questi interessatissimi articoli
http://www.anti-phishing.it/news/articoli/news270907.php
http://www.anti-phishing.it/news/articoli/news2609072.php
Il Ministero delle Comunicazioni continua a rilasciare numerazioni 899
(ad oggi la cifra di è 140.000 numeri a valore aggiunto, ma aggiunto di che?)
Questo è lo sviluppo tecnologico e i nuovi servizi delle compagnie telefoniche:gli 899 e i numeri satellitari .... siamo davvero sull'orlo del baratro come l'argentina.

P.s. GOOD NEWS:Italianprogrammi e tutti i siti analoghi sono stati oscurati da google. Qualche giorno dopo sono spariti dal web.

Precisazioni sulla blacklist

2007-09-11T23:16:00.000+02:00

Prendo spunto da un commento al post che riguarda la blacklist per precisare alcune cose.
Mi è stato segnalato che alcuni range di ip bloccati contengono anche siti legittimi.

esempi citati:

- creativecommons.org (ThePlanet.com - 67.19.167.98)
- www.locandacinquecerri.com (Layered Technologies, Inc. -72.232.18.162)
- www.mgbrescia.it (ThePlanet.com - 70.85.249.221)
- www.michaelmoore.com (HopOne Internet Corporation - 66.36.252.57)

Questi vanno ovviamente eliminati dalla lista

Mentre per quanto riguarda
download.skype.com gli ip di questo non sono mai stati in blacklist mi pare.

E' assolutamente vero quindi ma il numero enorme di immodizia che avevo trovato mi aveva indotto ad inserire i blocchi nella lista.Me ne ero gia' accorto io stesso con gli hoster Theplanet e Everyones Internet

Non tutti range che sono nella blacklist hanno lo stesso grado di pericolosita'.
Ad esempio io preferisco impedire l'accesso alle pagine civetta ma in realta' basterebbe bloccare i server che ospitano i malware.

Se non volete utilizzare la lista full perche' temete che qualche sito importante risulti inaccessibile potete filtrarne un sottoinsieme.
Nello specifico consiglio fortemente di inserire
tutti quelli che si trovano in russia, ucraina, repubblica ceca , israele , in asia , uk e negli usa almeno atrivo/intercage, Beyond The Network America, Pilosoft , ISPrime etc.
Direi di riservare lo stesso trattamento anche ai depositi di dialer, ai falsi programmi antivirus/antispyware e ai siti di statistiche gratuite con "sorprese" sgradevoli

Le segnalazioni di questo tipo sono sempre particolarmente apprezzate

Italianprogrammi.net : Analisi di un archivio costruito per infettare

2007-08-27T03:06:00.000+02:00

Torno ancora una volta su un tema gia' trattato in precedenza:
I siti archivio costruiti per infettare.
Penso che meritino un approfondimento visto che ne ho trovati parecchi.
Prendiamo come esempio italianprogrammi.net che è spesso consigliato come fonte di download.
Questo sito è ospitato da intercage inc. ed è stato registrato da estdomains il che gia' è sinomino per entrambe le societa' di malware, scam, spam ecc.

Nella home page non c'è nulla di anomalo ma quando andiamo a visitare una delle pagine dell'archivio scatta la trappola. Non c'e bisogno di scaricare nulla perche' l'attacco avviene prima tramite exploit.
Interessante notare che lo script malevolo viene eseguito una sola volta, nella visita successiva non succede nulla.

Per venire colpiti mi pare sia necessario avere avere un indirizzo Ip italiano e utilizzare Internet Explorer.

Vediamo cosa succede in dettaglio.Nello screenshot c'è il momento in cui viene caricato lo script malevolo

diamo un'occhiata al codice:

[una curiosita' :l'indirizzo e il numero di telefono dell'intestatario di theadbroker.net, che è stato registrato dalla famigerata Estdomains, sono di un albergo della Sardegna. Che questi farabutti ci siano andati in vacanza?]

il sito theadbroker.net dovrebbe puntare a quest'altro dominio
sunnyvalley.info (sono entrambi ospitati dalla nota Intercage negli USA)

che contiene il seguente iframe

dove sono presenti 8 javascript offuscati malevoli

Quest'ultimo server (195.238.242.76) si trova in moldova e appartiene ad un range di Ip pericoloso gia' in blacklist da tempo.

Questa volta non faro' ulteriori analisi degli script e dei malware che vengono scaricati.

Qui sotto c'è una lista di domini assolutamente da evitare costruiti per il medesimo scopo e con lo stesso meccanismo (l'ho postata sul forum sicurezza di hwupgrade)

LISTA DOMINI:http://www.hwupgrade.it/forum/showthread.php?t=1545882

Qui invece c'è un sito un video che mostra cosa succede o succedeva (non è recentissimo) visitando il sito installare.net

http://www.youtube.com/watch?v=rlqnszS2qsk

la fonte di questo video è la società israeliana finjan

Ransomware: la terribile minaccia di trovarsi l'HD criptato

2007-08-17T17:37:00.000+02:00

Prendo spunto da una serie di post sul blog di Sunbelt per trattare una nuova (ma non nuovissima) grave minaccia informatica.
Una tipologia di malware che potrebbe diventare in futuro particolarmente diffusa:
il Ransomware.
Questo tipo di software cripta i dati per permettere al cybercriminale di richiedere un riscatto (Ransom) per la decodifica.

Nello specifico se il Ransomware di cui parla Sunbelt fosse collegato alla gang di russi/ucraini di cui si occupa questo blog o comunque a persone che fanno affari con quei farabutti la cosa sarebbe davvero preoccupante.

http://sunbeltblog.blogspot.com/2007/08/new-ransomware.html
http://sunbeltblog.blogspot.com/2007/08/possible-decryptor-available-for-trojan.html
http://sunbeltblog.blogspot.com/2007/08/this-makes-it-all-worth-it.html

Invece di trovarci installato attraverso gli exploit sul browser un pur sempre pericoloso trojan-clicker e/o un dialer fino ad arrivare ad un keylogger o un infame rootkit, se venissimo colpiti da un malware di questo tipo sapremmo bene a quali catastrofi andremmo incontro.
Ben peggiori delle rotture di scatole che ha causato un virus devastante come Gromozon.

Criptare i file con algoritmi di cifratura forte significa sostanzialmente perdere tutti dati se non si ha la chiave per la decodifica.
Perchè per quanto mi riguarda di pagare non se ne parla neppure. NON SI DEVE FARLO MAI.
Anche se si tratta di 150 - 200 dollari.
Noi italiani un po' esperienza nei sequestri (di ben altra importanza) purtroppo ce la siamo fatta.

La perdita di tutti i dati contenuti nel nostro hard disk è stato sempre un avvenimento drammatico
sia che esso possa accadere per colpa di una rottura dell' hardware sia per colpa di un virus.
Per questo fare dei backup costantemente è una di quelle pratiche che mai e poi mai dovrebbero essere dimenticate.
Con la diffusione delle pendrive e dei masterizzatori DVD non dovrebbe essere cosa troppo difficile.
Dover pagare per decrittare quello che è nostro è qualcosa di particolarmente odioso per cui
visto i tempi che corrono è meglio iniziare mettere al sicuro i dati importanti.

Qui ci sono altri link che parlano dei Ransomware

http://punto-informatico.it/p.aspx?id=1307748
http://www.downloadblog.it/post/3365/ransomware-trojans-larrivo-dei-ricatti-digitali

qui un altro caso di cui parla Panda software

http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/07/17/A-new-case-of-RansomWare-_210021002100_.aspx

Nel caso di sunbelt un utente è riuscito a recuperare i dati grazie ad un tool di decodifica che la famosa societa' di sicurezza ha ricevuto da fonte anonima.In altri casi i file non erano stati codificati con l'argoritmo che sostenevano di aver usato e gli specialisti delle societa' antivirus (prevx) sono riusciti a mettere a punto un programma per sistemare il tutto, come ad esempio nel caso seguente:

http://www.pcalsicuro.com/main/2007/07/il-trojan-ti-spia-e-ti-minaccia/

Quindi prima di strapparci i capelli facciamo un giro sul web per vedere se qualcuno ci ha risolto la grana.

Ma non possiamo affidarci ne' alla efficacia degli antivirus ne' a colpi di fortuna come questi.
Una sola parola ha senso: BACKUP

Chiudo con i soliti consigli: navigate con l'account limitato + firefox + sandbox
Aggiornate il sistema operativo con windows update e i controllare gli altri software con secunia inspector.
Usate un antivirus efficace ed aggiornato e bloccate con il firewall gli Ip malevoli.

AGGIORNAMENTO 18/8/07

Ho fatto qualche ricerca sul web e le cose che ho trovato non sono proprio rassicuranti.
Per quanto riguarda il ransonware di cui parlava Sunbelt sembra che sia saltato fuori da una
installazione di iframedollars (sono russi) che usa exploit per infettare i computer. Quello che fanno questi simpaticoni è offrire un"particolare" programma di affiliazione ai webmaster, ovvero se uno mette una determinata stringa nelle proprie pagine web
loro ci pagano. Ma attenzione questo codice fa scaricare malware pericolosissimi e adesso addirittura ransomware! Fare "affari" con questi tizi significa metterersi al servizio della criminalita' organizzata tralasciando il fatto che possono tranquillamente, come è probabile, truffare anche i loro "clienti".

qui potete leggere un articolo in italiano. A differenza di quello che è riportato
mi pare che ora paghino in base al numero di pc infetti.

http://www.weekit.it/index.php?option=com_content&task=view&id=37805&Itemid=148

qui ci sono altri articoli in inglese che risalgono anche al 2005

http://www.informationweek.com/showArticle.jhtml?articleID=163701736
http://www.eweek.com/article2/0,1895,1829174,00.asp

Gli italiani sono polli da spennare particolarmente appetibili come potete vedere nello screenshot

"Condizioni del servizio" :-)

21 persone compongono questa organizzazione criminale?
Non so.....

Mi sto rendendo conto sempre di piu' che esiste tutto un mondo di criminali informatici che trama alle nostre spalle per derubarci. Sicuramente sono di tutte le nazionalita' ma i cittadini dell'est-europa ed in particolare i quelli dell'ex unione sovietica (russi, ucraini , bielorussi , lituani ecc.) sono particolarmente agguerriti per quanto riguarda le truffe verso il nostro paese.
Per capire quello che sta accadendo basta leggere "particolari" forum scritti in cirillico.
La cosa incredibile è che il tutto è fatto alla luce del sole con una sfacciataggine e una strafottenza dovuta ad un totale senso di impunita'.
Come se non bastassero quelli che abbiamo noi di farabutti. Magari proprio coloro che si nascondono dietro alla facciata di una rispettabile S.p.a.

Il sito del Subsonica martellato a colpi di spam di pagine civetta

2007-08-08T14:11:00.000+02:00

Non faccio a tempo a finire un articolo che subito devo scriverne uno successivo per parlare di un'altra tecnica molto in voga per infettare i computer. Occuparsi di certe cose è come cercare il petrolio in Arabia Saudita: appena uno fa un buco esce subito qualcosa di interessante.
Lo spunto me lo da l'enorme quantita' di spam sulla pagina dei commenti del sito dei Subsonica, il noto gruppo musicale torinese.

Vediamo soltanto alcuni link pericolosi di esempio inseriti:

hxxp://itnewarea1.cn/ (84.16.251.235)
hxxp://itnewarea2.cn/ (66.232.117.81)
hxxp://itnewarea3.cn/ (72.232.254.74)

questi 3 sono solo una specie di indice con tutti i link

Quindi come potete vedere i modi per farci arrivare su qualcosa di molto dannoso sono essenzialmente 4

1) attraverso le pagine dei risultati dei motori di ricerca
2) mediante spam sull'email
3) con spam su forum o web-board
4) attraverso hack di siti legittimi (modificati con iframe o javascripy offuscati)

Eliminate sempre dai Vs. forum e web-board lo spam di questo tipo

Analisi di portali costruiti per infettare i pc italiani

2007-08-05T16:23:00.001+02:00

Questa volta cerchero' mostrare come è costruito un sito web o meglio una specie portale che contiene qualsiasi cosa per massacrare il nostro computer e qualche volta svuotare anche il nostro portafoglio.
Immondizia simile l'avevo gia' fatta vedere tempo fa ma senza fare i giusti approfondimenti.
Vediamo a cosa andiamo incontro se navighiamo su questa spazzatura.
Per fare questo utilizzero' 3 siti esempio sempre della gang che è tanto cara a questo blog ed in particolare:

itpubblicazioni.net ip:89.149.221.23
itpubblicazioni.info ip:89.149.221.23
its-search.com ip:88.214.198.10

Non andate su queste pagine e se volete farlo a vostro rischio e pericolo nemmeno con Firefox visto che usano anche la recentissima vulnerabilita' firefoxurl!

Come questi ce ne saranno migliaia sempre messi su da questi simpaticoni di cui ben conosciamo abilita' e furbizia.
Vediamo cosa tentano di fare:

1)Venderci falsi antivirus o antispyware (facendoci credere con dei trucchetti di bassa lega che siamo infetti)
In inglese vengono definiti rogue AV/antispyware ed una lista piuttosto aggiornata la potete trovare qui
http://spywarewarrior.com/rogue_anti-spyware.htm

2) Pubblicizzare o vendere farmaci simil-Viagra senza principio attivo o nocivi per la salute
3) Spam di pornografia e suonerie per cellulari
4) Dirottare il browser verso determinati siti (spesso pericolossimi con truffe di tutti i tipi)
5) Infettare il nostro computer con malware in molti casi nascosti da rootkit e quindi di difficile individuazione e rimozione

Analizziamo il primo
Come potete vedere, mentre scrivevo questo post, hanno aggiunto un exploit per la recente vulnerabilita di firefox nella gestione degli URI

Nel codice sono presenti alcuni javascript malevoli:

qui si viene di indirizzati al sito del falso antispyware Systemdoctor (204.16.204.56)
Invece l' iframe con il sito rxadksqgxm.com (195.238.242.98)
punta ad un range in moldavia ben noto che contiene solo malware e virus che tentano di installarsi attraverso exploit

nell'immagine qui sopra c'è un javascript che punta ad un sito valik.biz (89.149.226.62) che contiene uno script offuscato la cui decodifica mostra i seguenti siti
adware/spyware, truffa ,con tracking cookie etc. molto probabilmente legati all'infame network COOLWEBSEARCH

hxxp://search.upspiral.com infame motore di ricerca
hxxp://www.searchfeed.com infame motore di ricerca
hxxp://cingular.ringringmobile.com
hxxp://www.Shopping.com
hxxp://www.DealTime.com
hxxp://www.MonsterMarketplace.com
hxxp://www.oxysearch.com
hxxp://www.looksearch.com
hxxp://thinklocal.com'

AGGIORNAMENTO 19/8/07

Il secondo è simile al primo quindi ne evito l'analisi

Per il terzo esempio, senza approfondire troppo, mi limito a
mostrare il codice della pagina nel quale si possono notare insidie e trabocchetti
di tutti i tipi

codice della pagina pericolosa:

e ancora

P.s.

Molti ip che ospitano fisicamente il malware in genere sono in russia e ucraina ma ultimamente ho trovato anche parecchi server malesi e di hong-kong, sempre sotto il controllo di russi, che ospitano i virus

Dalla Russia con amore: analisi di un tipico attacco con pagine civetta

2007-07-28T16:21:00.000+02:00

Prendo lo spunto da una discussione fatta poco tempo fa per mostrare quello che è un tipico attacco fatto con pagina civetta verso i computer italiani.
Ricordo che i siti web costruiti ad arte da questa gente (russi/ucraini) per infettare automaticamente il vs. pc sono dell'ordine di milioni (milioni di pagine web indicizzate da google e dagli altri motori di ricerca).

Non visitate i link mostrati in chiaro nelle immagini di questo post.

1) Iniziamo a fare la nostra solita ricerca su google di una determinata parola (ho scelto una cosa che mi ha permesso di andare a colpo sicuro)
I risultati nell'immagine non promettono nulla di buono

2) ecco mentre è visualizzata del browser

3) analizziamo il codice sorgente della pagina

4) decodifichiamo il javascript offuscato con una serie di semplici accorgimenti

5) il link in chiaro contiene a sua volta un nuovo javascript offuscato

6) nuova decodifica e nuovo link

7) la pagina del link ci mostra un'immagine porno (non l'ho censurata) per distrarci dalla minaccia

8) Nel codice c'è il seguente iframe in chiaro

9) se il browser è internet explorer si accede al link qui sotto altrimenti si viene reindirizzati al sito di google (almeno così mi è sembrato)

10) li nuovo script offuscato (questa volta non mostro la decodifica) che fa scaricare automaticamente il file roin.exe (un bel virus)

L'analisi su virustotal è abbastanza deprimente. In questo momento solo 4 antivirus riescono ad identificarlo
e sono:

esafe suspicious Trojan/Worm
f-secure W32/Horst.gen25.dropper
norman W32/Horst.gen25.dropper
panda Suspicious file

Molto utile la sandbox di norman che ci spiega cosa fa il malware

come potete vedere viene installata una falsa toolbar di google:Googlegoogletoolbar1.dll
insieme ad altra immondizia

qualcuno su castelcops aveva gia' individuato il file

http://www.castlecops.com/t195746-roin_exe_Trojan_and_fake_Google_Toolbar_installer.html

per finire diamo un'occhiata all' ip in cui è ospitato il virus
89.253.244.209 Russian Federation - Rusonyx il cui range è gia' nella mia blacklist da tempo

Su questo server ci sono anche questi altri pericolosissimi domini:

1 AMAZINGSEXMOVIE.COM
2 BESTTOPSEARCH2007.COM
3 NEWWEEKLYNEWS.COM
4 SANDRACOUNTER.COM
5 SECKEYPRO.COM

Sempre registrati da russi

Come difendersi dal rischio di infettarsi durante la navigazione?
Una delle possibili soluzioni:
account limitato + sandbox[consiglio sandboxie] + firefox (o opera)

Aggiornamento:

il file ora è riconosciuto (su mia segnalazione) da

Kaspersky: Trojan.Win32.Agent.aun
Antivir: HTML/Dldr.Ag.E.37.A
Panda: Trj/Agent.GAV

Lista domini hackerati su server italiano hosting solutions

2007-07-26T18:05:00.001+02:00

Grazie all'amico edgar ed al suo tool in fase di sviluppo ho fatto alcune ricerche per controllare se ancora vi siano tracce di siti hackerati sugli hoster presi di mira qualche mese fa.
Per adesso sui server della societa' fiorentina Hosting Solutions ho trovato questi domini infetti
con un javascript offuscato:

IP:194.242.61.210

hxxp://www.24net.it
hxxp://www.affittiinsardegna.it
hxxp://www.aissa.it
hxxp://www.brosmanifatture.it
hxxp://www.caprillina.it
hxxp://www.cdm-dellamura.it
hxxp://www.chiesadicristoroma.it
hxxp://www.cmdm.it
hxxp://www.comitatomadeinitaly.it
hxxp://www.conventionplanning.it
hxxp://www.crvo.it
hxxp://www.dodibattaglia.it
hxxp://www.euroufficio.org
hxxp://www.ffuture.it
hxxp://www.fitvillage.net
hxxp://www.gierre-group.it
hxxp://www.giuditta-countryhouse.it
hxxp://www.hotelriomarina.it
hxxp://www.hotels-hostels-florence.com
hxxp://www.leonberger.it
hxxp://www.man-group.it
hxxp://www.misericordia.firenze.it
hxxp://www.noleggioitalia.it
hxxp://www.ocabianca.com
hxxp://www.pii-cinisello-balsamo.it
hxxp://www.rudolf-keller.it
hxxp://www.scenarionline.it
hxxp://www.tsunami-3d.com
hxxp://www.vespaclubmilano.it

working progress...

Qui sotto c'è il javascript offuscato:

e la relativa decodifica

A proposito di javascript offuscati molto interessante è questo articolo di anti-phishing.it
che prende spunto da una pubblicazione di websense

http://www.anti-phishing.it/news/articoli/news.21102005.php

Aggiornamento 28/7/07:

Nei commenti a questo post troverete moltissimi altri siti legittimi hackerati con il
javascript offuscato

Facce da _ulo: intervista ad uno dei creatori di mpack

2007-07-24T22:59:00.000+02:00

Per la serie faccia come il C... ecco un'intervista ad uno dei sviluppatori russi dell' mpack, il tool che serve ad infettare pc che ha creato tanto scompiglio in Italia.
Gli attacchi del mese scorso sono stati realizzati con questo malware.
Il sito dove veniva commercializzato ed il forum sono stati chiusi in tutta fretta visto il clamore che avevano suscitato.
Le immagini seguenti sono relative alle statistiche generate automaticamente da mpack durante un attacco.
Come vedete sono conteggiati i computer infettati con vari exploit per internet explorer, quicktime, windows 2000, firefox (vecchie versioni) , opera 7 e c'è anche una tabella riassuntiva con la percentuale di successo per paese.
La navigazione sul web come potete vedere puo' non essere molto tranquilla. Trappole e trabocchetti di tutti tipi ci aspettano.

Qui invece potete avere informazioni su questo tipo di immondizia (l'analisi è di panda software):
http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf
http://www.comunicati-stampa.net/com/cs-12652/Panda_Software_informa_sono_quasi_160_mila_i_computer_colpiti_da_Mpack

Qui sotto invece l'intervista a questo simpaticone:
http://www.securityfocus.com/news/11476

Alla fine ci consiglia:

"I would advise you to use the Opera browser with scripts and plug-ins disabled in order not to be caught by the MPack someday".

Vi consiglio di usare Opera con script e plug-in disabilitati allo scopo di non essere presi
dall'Mpack un giorno.

Direi che è un ottimo suggerimento, ma se lui non vendesse quella porcheria sarebbe meglio visto che per sua stessa ammissione ha un lavoro legale. Non credete?

Il sito di ufficiale di Carmen Consoli hackerato con il solito iframe

2007-07-19T23:21:00.000+02:00

Ancora una volta la gang di CWS/gromozon alias mpack gang o potremmo definirla iframe gang,
insomma i nostri soliti amici russi/ucraini
colpisce un sito di un importante cantante italiano.Tempo fa era stato il sito di R.Vecchioni.

Il server è quello di seeweb con Ip: 217.64.199.54.

L'ip dell'iframe incriminato 81.29.241.236 invece appartiene ad un range russo malevolo ben noto e presente da mesi nella mia blacklist

Anche sul forum collegato ne parlano i fans della famosissima "cantantessa" catanese:

http://www.carmenconsoli.it/it/forum/topic.asp?TOPIC_ID=23275&FORUM_ID=17&CAT_ID=1&Topic_Title=Su+questo+sito+c'+%E8+un+virus!!&Forum_Title=A+proposito+di+Carmen+Consoli

Putroppo seeweb è uno di quegli hoster che è stato maggiormente attaccato e a quanto sembra la situazione è ancora gravissima.

Gli hoster italiani che sono stati colpiti duramente in questo ultimo periodo e che hanno subito la modifica delle pagine di tutti i siti web che ospitano, con iframe e jscript malevoli sono:

Hosting Solutions
Seeweb
Aruba

La situazione piu' grave riguarda i primi 2 casi visto che a distanza di 2 mesi ancora sono in questa incredibile situazione. Direi che si possono un po' definire le prede preferite di questa gang di abilissimi cybercriminali russi/ucraini.

Cerchero' di aggiornare al piu' presto il post con nuove informazioni perche' credo che anche altri siti ospitati su server seeweb (questa volta si tratta di macchine con windows e Microsoft-IIS/6.0) dovrebbero essere infetti.

working in progress.......

La decodifica del javascript offuscato contenente l'exploit (anzi una serie di exploit) stavolta è stata leggermente piu' laboriosa.

Kaspersky riconosce:

il file con gli l'exploit come Trojan-Downloader.JS.Psyme.gy
e il virus come Trojan-Clicker.Win32.Small.kj

Di quest'ultimo virus se ne era gia' parlato dettagliatamente sul sito pcalsicuro.com tempo fa
Si tratta di una creatura DialCall:

http://www.pcalsicuro.com/main/2007/01/trojanclickersmallkj-e-adsl-in-italia/

E continua l'agonia dei siti su seeweb come ad esempio

www.woodall.it (su Ip 217.64.199.124) bonificato ed adesso infetto di nuovo con un jscript offuscato

www.muweb.it (212.25.179.97)

I typosquatter ci ingannano con una falsa patch per I.E. 7

2007-07-13T12:51:00.000+02:00

I typosquatter hanno davvero una grande fantasia ed ecco una nuova trappola per ingannare gli sprovveduti navigatori del web. Una falsa patch per internet explorer 7

E dopo i falsi motori katasearch ed extraricerca
arriva hxxp://www.google-hard.com

Notare in questa pagina il contatore www.histats.com, ex www.0stats.net su cui avevo trovato un exploit bloccato da nod32)

Un altro sito da cui guardarsi, sempre della stessa cricca è:
hxxp://www.vispateresa.biz

Ci sono delle diffenze sostanziali tra i furbacchioni italiani e quelli russi/ucraini.
I primi tentano di ingannarci soprattutto con tecniche di ingegneria sociale mentre i secondi uniscono a questa abilita' anche una capacita' tecnica di programmazione notevole (exploit, rootkit, keylogger, backdoor) e mezzi a dispozione enormi e in tutto il mondo(hosting, server dns, servizi di registrazione domini)

Segnalazione siti: gmg- alfonso di punto-informatico.it

L'hoster Seeweb ancora sotto scacco da parte della mpack gang

2007-07-10T09:57:00.000+02:00

Faccio un post veloce per segnalare l'incredibile situazione di un altro hoster italiano, Seeweb che continua ad essere attaccato dalla gang di mpack.
Non ho molto tempo a mia disposizione per fare i necessari approfondimenti.
Per adesso bloccate questo indirizzo Ip 202.75.33.238 che si trova in malesia.
Ci saranno aggiornamenti......

Aggiornamento

La situazione apparentemente mi sembra meno grave di quanto mi aspettassi:
Molto probabilemente si tratta di un colpo di coda di un attacco che è avvenuto un mese fa.

Per quello che ho potuto osservare, da un valutazione molto molto rapida e sommaria, i siti infetti non sono molti sul server che mi era stato segnalato.

hxxp://www.franciacortaonline.it
hxxp://barbados4u.com
hxxp://www.viniquattrocchi.it
hxxp://flexso.it (ora bonificato)

E non mi sembra, ma questo prendetelo con il benificio di inventario, che l'exploit sia attivo.

la decodifica di un javascript offuscato svela un iframe che punta a questo dominio: hxxp://crunet.info il cui Ip è 203.121.73.229 sempre in malesia

Per quanto riguarda questo dominio ci sono gia' discussioni sui forum datati 7 giugno
come questa:

http://www.gemboy.it/forum/viewtopic.php?p=109968

la cui registrazione è la seguente

Registrant Name:Vladimir Kokonin
Registrant Organization:N/A
Registrant Street1:84/211 Lenina st.
Registrant Street2:
Registrant Street3:
Registrant City:Moscow
Registrant State/Province:Moskva
Registrant Postal Code:117000
Registrant Country:RU
Registrant Phone:+7.0957402221
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:

Notare l'email del servizio satellite-email.com fornito dal telenor, una compagnia norvegese

Aggiornamento

Ci sono altri 2 domini che puntano a quell'ip malese.

- traffa.info
- crunet.biz

Alla fine facendo le solite ricerche incrociate dove sono finito?
Sul solito forum di hacker russi dove le discussioni e codici che vengono scambiati o venduti sono per aggirare le protezioni antivirus ed evitare il filtro dei firewall.
Non c'è dubbio che per lavorare nel settore sicurezza con successo si dovra' imparare il cirillico.

Italy.rin.ru, il primo progetto russo-italiano....per infettare

2007-07-08T17:38:00.000+02:00

Come al solito mentre facevo le solite ricerche sul web attraverso google mi sono imbattuto
in questo incredibile e sfacciato sito firmato dai soliti simpaticoni russi della premiata ditta CWS/gromozon. Queste pagine sono veramente una trappola terribile per i poveri disgraziati che ci arrivano con un sistema non adeguatamente protetto.
Il sito è ospitato su server atrivo/intercage (spam, scam, ecc.). I range di Ip assegnati a questa societa' vanno evitati come la peste bubbonica perche' sono pieni di malware ed exploit di tutti i tipi.
In questo sito ci sono news e recensioni cinematografiche prese da pagine italiane.
Quindi si presenta come un collage di scopiazzature di argomenti di vario genere.

Nel codice non sono presenti iframe visibili ma solo javascript.
Andiamo a controllare il codice della pagina e troviamo questo

Ed ecco un bell'iframe che punta ad un server in russia di un notissimo blocco pieno di immondizia di tutti i tipi gia' presente da tempo nella mia blacklist.

Potrebbe gia' bastare così ma stavolta visto che si tratta di una cosa veramente "simpaticissima" e per ringraziare della cortese e maniacale attenzione che i nostri amici dedicano al nostro paese ho deciso di approfondire..

Andiamo a vedere cosa succede:
il file a3.html contiene un javascript offuscato la cui decodifica è la seguente

www.html
cms.html
mac.html

contengono a loro volta dei javascript offuscati:
la decodifica è esercizio abbastanza semplice e forse sara' trattata in post futuri.

cms è riconosciuto come exploit da Antivir, BitDefender, DrWeb, Kaspersky, Panda e Webwasher
www è riconosciuto come exploit da antivir, esafe, panda, etrust (JS/MS05-054!exploit), sophos e webwasher
mac non è riconosciuto da nessun antivirus, ma lui si preoccupa parecchio di loro infatti controlla se sono installati i seguenti prodotti:

Come potete vedere gli antivirus servono a poco.
L'unica soluzione possibile è utilizzare una sandbox (eccellente è sandboxie) sul browser oppure una misura draconiana, ovvero navigare con java e javascript disabilitati.

Ormai credo sia ovvio che questi russi/ucraini godono di appoggi in Italia.
Nei prossimi giorni cerchero' di mostrare vari esempi di pagina civetta
e come si riconosce l'immondizia di questo tipo.
E soprattutto come difendersi da questi farabutti.
Le pagine infette riconducibili a questa gang sono dell'ordine di milioni.
La cosa incredibile di questi tizi è la strafottenza e l'arroganza con cui stanno letteralmente avvelenando il web (in particolare quello italiano).
Ancora non ho capito perche' sono intoccabili ma anche Al Capone lo era.
Aspetto con molta impazienza che google rilasci greenborder. Un software che grazie al gigante Mountain View avra' una diffusione notevole e che risolvera' molti dei problemi a cui si va incontro navigando sul web in questo periodo.
Chiudo con una nota di colore: l'about di questo sito.

Se questi sono i progetti russo-italiani non c'è da stare molto allegri per il futuro

I typosquatter ci regalano 1000 euro

2007-07-03T15:30:00.000+02:00

Finalmente! Ci voleva proprio. Grazie ai typosquotter ho vinto ben 1000 euro :-)
N-esima pagina furba per farci scaricare ancora una volta un malware.

Il server cinese è lo stesso del post precedente Ip: 220.164.140.241

I typosquatter ci ingannano con una falsa vulnerabilita'

2007-06-29T11:34:00.000+02:00

Ecco un nuovo sito veramente astuto messo su dalla stessa mano dei falsi motori katasearch ed extraricerca.
Le tecniche di ingegneria sociale diventano sempre piu' raffinate ed il rischio di essere ingannati non è così remoto.
Un'immagine gif cerca di farci credere che il nostro pc ha una vulnerabilta' per indurci a scaricare il file patch_pubblica.exe che ovviamente è un malware.

Per i dettagli: (ATTENZIONE CHE NELLA PAGINA DI ANALISI CHE HO INDICATO QUI SOTTO C'E' ANCHE IL LINK DIRETTO AL SITO MALEVOLO)

http://newsgroup.tecnologia.alice.it/newsgroup/message.jspa?messageID=4611686018460421644&threadStatus=0&tstart=0

Il sito è ospitato su un server cinese.

Aggiornamento attacco mpack

2007-06-26T09:48:00.000+02:00

Velocissimo aggiornamento sul mega attacco sferrato contro gli hoster italiani Aruba e hosting solutions
Attualmente è necessario bloccare i seguenti server:

64.62.137.149 (server centrale dell'attacco)
194.146.207.220 (joimcnt.net)
82.98.235.50 (qii5unj.com)
83.149.75.58

Fonte: www.suspectfile.com

Nuova ondata di siti archivio pericolosissimi by gromozon

2007-06-24T11:07:00.000+02:00

Ne avevo gia' parlato tempo fa in un post su questo blog e ora si ripresentano in tutta la loro astuzia e pericolosita' i siti archivio di gromozon team.

http://maipiugromozon.blogspot.com/2007/05/gli-archivi-di-gromozon.html

Questi archivi trattano gli argomenti piu' disparati e sono creati apposta per attirare un pubblico eterogeneo. Mentre uno sta leggendo la recensione di un film o info di un artista lo script malevolo lavora per fregarci come al solito

I siti sono ospitati da atrivo/intercage e gia' questo ci dice moltissimo ,ma da anche in un nuovo range di IP che non avevo mai visto.

E' fortemente consigliato di bloccare: 216.255.176.0 - 216.255.191.255 gia' presente nella blacklist

e il nuovo range 91.192.117.0 - 91.192.117.12. Todayhost Limited UK

Mini lista di esempio di siti pericolosissimi:

italianprogrammi.net
italianorecensioni.net
tencinema.net
italianodrivers.net
tuttorom.net
gratisfull.net
italiangratis.net
italianicinema.net
italianomid.net
celebrita.net
Artigratis.net
Glagirls.net
trucchiguru.net
ecc.

working in progress..........

Un piccolo capolavoro di ingegneria sociale

2007-06-21T19:54:00.000+02:00

Non si sono ancora spenti gli echi dell'incredibile attacco informatico subito dal nostro paese (post precedenti) e gia' mi ritrovo gia' a mostrare quello che si puo' definire un piccolo capolavoro di ingegneria sociale ad opera dei typosquatter

http://punto-informatico.it/p.aspx?i=2017119

( una lista dei domini la potete trovare sul blog di sunbelt qui) , che hanno messo on line i falsi motori di ricerca katasearch.com ed extraricerca.com.
Nella immagine qui sotto potete notare parecchie astuzie per far infettare il malcapitato

Da questo sito si puo' scaricare un nuovo malware che ha l'icona della Vodafone

e non viene ancora intercettato dai principali Antivirus.

Aggiornamenti sull'attacco criminale all'Italia

2007-06-20T12:15:00.000+02:00

Sembra che l'Italia stia diventando il paradiso della cyber-criminalita' organizzata ...ed in particolare di quella russa/ucraina.

Come riportato nel precedente post una enorme quantita' di siti web ospitati su sever ARUBA, un importantissimo Isp/hoster italiano è stata infettata con codice malevolo e nella fattispecie con un iframe.

Come io stesso ho potuto vedere il numero è superiore alle 11000 unita'.....
La cosa è confermata anche da vari articoli internazionali

http://www.eweek.com/article2/0,1895,2147711,00.asp

Quindi un numero molto elevato di computer di navigatori sono stati infettati dall'exploit dei siti compromessi.
Questo non solo in Italia ma in tutto il mondo anche se la parte del leone principalmente la fa il nostro paese visto che si trattava comunque di siti in lingua italiana.

Questo attacco segue quello di circa un mese e mezzo fa a hosting solutions:
stessa tecnica, stesso iframe e sempre server windows compromessi.

Una ragazza poi riporta una notizia ancora tutta da verificare...
Anche i server della societa' seeweb avrebbero avuto problemi ed in questo caso si tratterebbe di server linux. Questo pero' va preso con il beneficio di inventario.

Questo per quanto riguarda i siti del tutto legittimi....pero' come sapete l'attacco verso il nostro paese va avanti ormai da parecchio ed ha trovato il suo acme l'anno scorso con il famosissimo virus Gromozon/LinkOptimizer da cui questo blog ha tratto il nome.

Pochi giorni fa un utente del forum di Hwupgrade è stato infettato con una nuova variante di questo terribile virus che si diffonde con le stranote pagine civetta (leggete i post precedenti per capirci qualcosa) di cui ho parlato in tutto il blog. Un virus che era perfino stato considerato innocuo da un analista Kaspersky!

Un analista di Kaspersky sbaglia su un malware pericolosissimo

Per quanto riguardo le modalita' vi invito a leggere questo vecchio articolo di Elia Florio di Symantec. Gli Ip ora sono diversi ma lo schema di attacco e le strategie sono rimasti invariati: si tratta di un'architettura a piu' livelli

http://www.symantec.com/enterprise/security_response/weblog/2006/10/gromozon_reloaded_everything_t.html

Gromozon e i suoi fratelli godono di ottima salute ma difendersi è possibile.

Infine una buona notizia:Dialer: denunciati gli autori del capitano Prisco Mazzi

Aggiornamento:

Symantec sta investigando sull'accaduto:

http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_strange_case_of_the.html

Qui sotto l'immagine dell'Iframe Manager usato dalla gang, un tool che permette di automatizzare l'attivita' (criminale) su vasta scala.

qui c'è un pdf interessatissimo sul tool Mpack ad opera di PandaLabs:

http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf

L'Italia sotto pesante attacco malware!!

2007-06-17T02:52:00.000+02:00

Dopo l'incredibile vicenda di Hosting solutions e' la notissima societa' Aruba a fare le spese della violenza e dell'abilita' della nuova cyber-criminalita' organizzata.

Tutti i dettagli li potete trovare sul sito della symantec
ad opera dell'ottimo Elia Florio e sul sito pcalsicuro

http://www.symantec.com/enterprise/security_response/weblog/2007/06/italy_under_attack_mpack_gang.html
http://www.pcalsicuro.com/main/2007/06/possibile-intrusione-nei-sistemi-aruba/
http://www.hwupgrade.it/forum/showthread.php?t=1494289

Un'intrusione davvero preoccupante visto la mole di siti web coinvolti e l'importanza dell'aziende sul panorama italiano.

Ma cerchiamo di capire cosa sta succendo ....

- obiettivi di questa gang (Russi , Ucraini)

fare soldi....infettando computer avendone il controllo da remoto
per rubare dati sensibili, per usarli per attacchi Ddos, per l'invio spam, per dirottare il traffico
verso determinati siti scelti da loro

- Metodologie di attacco e strategie tipiche

1) violare server generalmente poco sicuri (in questo caso si tratta di macchine con windows)
modificare le pagine ospitate con iframe e jscript infetti.
2) usare google e gli altri motori come mezzo di diffusione dell'epidemia grazie ad una attenta politica di scelta delle keyword e di SEO delle pagine civetta con gli exploit
3) spam
4) inganni tramite falsi antispyware

- Contromisure

per gli hoster:

1)vigilare su eventuali vulnerabilta' e tappare le falle immediatamente
(non come hosting solutions che avvisata se ne è beatamente fregata)
2)Segnalare il problema ai clienti e modificare preventivamente tutti i siti che contengono codice infetto

per gli utenti:

1) aggiornare con tutte le patch i loro sistemi ed anche i programmi con secunia inspector
2) usare account limitato
3) utilizzare un AV efficace (ma l'antivirus non basta piu')
4) bloccare con un firewall gli Ip pericolosi
5) usare una sandbox sul browser (sandboxie)
6) non usare I.E. (il 15% degli utenti di questo blog usa I.E. 6 che senza sandbox è veramente un colabrodo )
7) leggere la posta via web ed utilizzare un servizio valido tipo gmail
8) usare antirootkit (piu' se ne usano e meglio è ... gmer, darkspy,icesword,....)

Eventualmente

9) usare hips (host-based intrusion-prevention system)
10) virtualizzazione del sistema (vmware, virtual pc , ecc..)

Ma forse conviene utilizzare s.o. diversi da win per la navigazione se continua di questo passo
ed io sono uno di quelli a cui non frega nulla delle guerre di religione tra sistemi operativi
uso qualsiasi cosa possa essere utile.

adesso mostro l'n-esimo esempio di una pagina civetta infetta (questa è stata appena sfornata)
o meglio dove si viene reidirizzati dopo aver visitato delle pagine civetta che in questo caso erano una serie di falsi blog ospitati in francia xxxxxxxxxxx.aceblog.fr

Il messaggio ovviamente è ingannevole perche il codice della pagina è questo

ed una addirittura istituzionale del comune di bisignano (la vera pagina del comune non un falso)

Detto questo , io ho fatto il mio dovere adesso la palla passa a voi :-)

Aggiornamento 19/6/07 0re 00.30

Segnalo 2 articoli che parlano di quello che sta accadendo (UNA SITUAZIONE GRAVISSIMA)
uno preso da punto informatico, l'altro dal blog della societa' giapponese trendmicro

http://blog.trendmicro.com/another-malware-pulls-an-italian-job/

http://punto-informatico.it/p.aspx?i=2022019

nel frattempo mi diverto a mostrare come è cambiata la pagina civetta col messaggio che ci avvertiva che il "file era stato cancellato". Ora giustamente ci invitano ad aspettare altrimenti come fa l'exploit a compromettere in nostro sistema se chiudiamo troppo presto la finesta? :-D

Qui sotto ho preparato una mini lista di IP da bloccare nel caso in cui non volete utilizzare quella full che si trova in alto a destra del blog

58.65.239.0 - 58.65.239.255 Hostfresh Hong Kong
64.38.33.10 - 64.38.33.14 FastServers, Inc Usa
89.253.192.0 - 89.253.255.255 RUSONYX-NET Russia
89.108.64.0 - 89.108.71.255 AGAVA-DATACENTER-NET Russia
88.214.192.0 - 88.214.255.255 UK-UAONLINE UK
87.248.208.22 system doctor Limelight Networks Inc Netherlands
87.248.163.0 - 87.248.163.255 SC STARNET SRL Moldova
85.255.112.0 - 85.255.127.255 Inhoster hosting company Ucraina
85.249.128.0 - 85.249.143.255 DATAPOINT-NET1 Russia
84.252.152.0 - 84.252.159.255 RUSONYX-NET Russia
82.208.60.0 - 82.208.63.255 UPL-TELECOM-CZ Czech Republic
82.204.219.0 - 82.204.219.255 POCHTA_RU-NET Russia
81.95.148.0 - 81.95.151.255 Too Coin Software Limited Russia
81.9.5.0 - 81.9.5.255 ELTEL Russia
81.29.240.0 -81.29.242.63 GLOBALTRADE-NET-1 Russia
81.177.8.0 - 81.177.9.255 Consult It Co. Ltd Russia
81.177.16.0 - 81.177.17.255 NETHOUSE-MOSCOW Russia
81.0.250.0 - 81.0.250.255 UPL TELECOM, s.r.o
80.77.80.0 - 80.77.95.255 UK-UAONLINE UK
66.244.254.64, 66.244.254.63 Big Pipe Inc.Canada
217.11.233.0 - 217.11.233.255 UPL-TELECOM-CZ Czech Republic
213.186.116.0 - 213.186.116.255 Utel DataCenter networks. Colocation Ucraina
212.176.41.8 GRL-EQUANT-NET russia
206.161.121.115 Beyond The Network America, Inc. Usa (server Russo)
204.16.207.50 Setupahost Canada
204.16.204.56 Setupahost Canada
195.95.218.0 - 195.95.219.255 INHOSTER Ucraina
195.238.242.0 - 195.238.242.255 MEDIADAT-MOLDOVA
195.234.159.0 - 195.234.159.255 LINO-NET Israele
195.225.176.0 - 195.225.179.255 NETCATHOST Ucraina
194.146.204.0 - 194.146.207.255 Nevacon Ltd Russia
194.135.19.0 - 194.135.19.255 RELCOM.BUSINESS NETWORK" Ltd. Russia
81.95.144.0 - 81.95.147.255 RBusiness Network (Russia)

Aggiornamento 19/6/07 ore 12:00
Aggiungere anche questo:
203.121.71.165 - 203.121.71.166 hackhost.biz Malaysia

Qui ne parla repubblica:

http://www.repubblica.it/2005/b/sezioni/scienza_e_tecnologia/sicurezzaweb/italian-job/italian-job.html

Il TG1 DELLE 13.30 RIPRENDE L'ARTICOLO DI REPUBBLICA

Sembra che parecchi siti infetti di Aruba siano stati "bonificati", anche se come io stesso ho
potuto verificare ce ne sono ancora molti attivi con l'iframe malevolo

Un analista di Kaspersky sbaglia su un malware pericolosissimo

2007-06-16T17:54:00.000+02:00

Beh puo' capitare anche a quelli che lavorano per le piu' importanti societa' di sbagliare.
Quando succede a Kaspersky la cosa sorprende un po'.
Vediamo quello che è successo.
Qualche giorno fa ricevo una segnalazione da TNT (un ricercatore di una nota societa' antispyware americana) su un nuovo malware della premiata ditta CWS/Gromozon; ecco il log di virus total.

Poco dopo sul forum di Hwupgrade un utente segnala una possibile infezione da un malware che mi sembra essere lo stesso.

il file viene inviato a kasperskylab da alcuni utenti del forum con l'invito di indagare appronditamente perche' è a dir poco molto sospetto.
La risposta dell'analista è questa:

No malicious software was found in the attached file.
-----------------
Regards, Yury Nesmachny
Virus Analyst, Kaspersky Lab.

Il virus è stato installato sul pc molto probabilmente da una pagina civetta simile a questa, (questa volta non ho fatto lo screenshot ma la mostro nella sua interezza):

come potete notare come al solito c'è l'invito aspettare, così l'exploit ha il tempo di fregarci :-)
Il file sembra sembra avere anche una componente rootkit
Probabile che sia una nuova versione di GROMOZON/DialCall

Qui potete leggere cosa è accaduto nel dettaglio:
http://www.hwupgrade.it/forum/showthread.php?t=1493956

Di solito non mi piace dare consigli su come difendere il proprio pc ma se utilizzate sandboxie sul browser, un account limitato (quindi senza diritti di amministratore) almeno mentre navigate, un firewall con delle blacklist di IP di sicuro renderete le cose molto complicate ai predatori del web.

Dai virus ai crimeware

2007-06-15T01:29:00.000+02:00

Faccio un aggiornamento, anche se in questi giorni ho pochissimo tempo libero, per segnalare una serie di articoli che fotografano bene la situazione ed i pericoli a cui si andra' incontro nei prossimi anni sul web.

Il primo articolo riguarda quello che si puo' definire l'evoluzione finanziaria del virus: il crimeware
la fonte è piu' che autorevole visto che si tratta di kasperskylab.

1) http://www.kaspersky.it/Malware/Crimeware.asp

anche questo secondo articolo di pianeta pc non fa che confermare la tendenza:

2) http://www.pianetapc.it/view.php?id=917

La terza segnalazione riguarda il pericolo delle botnet. Non è improbabile che il vostro pc possa diventare uno zombie ovvero che possa essere controllato completamente da remoto a vostra insaputa ed essere utilizzato, dopo vi siano state sottratte abilmente tutte le informazioni utili possibili (bancarie ad es.) , per l'invio di spam o per attacchi Ddos.
Qui si parla di attacchi su vasta scala come quello contro l'Estonia.

3) http://punto-informatico.it/p.aspx?i=2020211

Il quarto e quinto riguardano esempi di Ddos a scopo di ricatto

4) http://punto-informatico.it/p.aspx?i=570589
5) http://punto-informatico.it/p.aspx?i=551639

Il sesto sempre tratto da pianeta pc si occupa di un tema caro a questo blog:
le pagine web infette:

6) http://www.pianetapc.it/view.php?id=916

Il link successivi sono interessanti perche' riguardano un aspetto spesso legato al phishing o
comunque ad attivita' criminali sul web. Spesso vengono offerti lavori d'intermediazione finanziaria a cittadini italiani che vengono usati piu' o meno inconsapevolemnte per il riciclaggio di denaro di provenienza illecita per conto di truffatori.

7) http://www.ilmessaggero.it/articolo.php?id=3192&sez=HOME_INITALIA
8)http://www.anti-phishing.it/news/articoli/news.12062007.php

Gli ultimi 3 riguardano la provenienza delle minacce. Ovvero la nazionalita' dei peggiori criminali informatici.Direi che gli abilissimi programmatori dell' Est Europa la fanno da padroni anche per via di controlli e legislazioni molto permissive.L'Italia è senza dubbio un obiettivo molto appetibile per queste gang.

9) http://punto-informatico.it/p.aspx?i=1109821
10) http://punto-informatico.it/p.aspx?i=1095599

6 su 10 dei peggiori spammatori del mondo sono russi/ucraini

http://www.spamhaus.org/statistics/spammers.lasso

Per chi è un attento osservatore queste cose non saranno una novita' per gli altri:
Buona lettura.

L' "Associazione Nazionale Libera Caccia" vuole infettarci :-)

2007-06-10T03:30:00.000+02:00

Ricevo dall'amico TNT (quello che non aggiorna il suo eccellente blog sulla sicurezza neanche sotto tortura) una interessante segnalazione su un bel blocco di sottodomini infetti pieni zeppi di exploit e porcherie di ogni specie. In particolare fanno riferimento a
questo dominio di 3 livello: anlc.lecce.it

Associazione Nazionale Libera Caccia - segreteria provinciale di Lecce.

Ovviamente questa associazione non c'entra niente con i malware; è ovvio, ma è sempre meglio puntualizzarlo.

Nella mia blacklist gia' c'era l'Ip 88.198.120.221 (server tedesco)
Volendo potete estendere il blocco al range 88.198.120.208 - 88.198.120.223

Approfitto del post per sfottere un pochino: TNT mandami il file con la password la prossima volta:-)

Segnalazione virus

2007-06-06T16:24:00.000+02:00

A questo indirizzo sono presenti 4 Virus.

hxxp://diexe.t35.com/ IP 66.45.237.220

CURA virus.zip
CashHack.zip
fotos.zip
virus.zip

Particolarmente astuto è il file dentro fotos.zip: un exe con che ha l'icona di file immagine.

Anche in questo caso gli antivirus che sono in grado di intercettarli sono pochissimi.

Aggiornamento 7/6/07

Ho fatto un controllo sull'IP 66.45.237.220 che risulta essere dell' hoster T35 che offre spazio web gratuito. Anche questo è stato sfruttato dai solito noti per le famose pagine civetta.
ecco un piccolissimo campione:

a2a.t35.com
a8rbmiev.t35.com
aatrfcji.t35.com
af85v7vy.t35.com
agsdlp1w.t35.com
akd8cb0i.t35.com
akiqdwif.t35.com
ecc.

purtroppo a questo ip non ci sono solo pagine civetta ma anche siti di persone che hanno usato lo spazio in modo
del tutto legittimo.Comunque queste pagine infette mi pare puntino, come avviene spessissimo, ai server della famigerata societa' ucraina INHOSTER (85.255.112.0 - 85.255.127.255) gia' presente nella blacklist.

Questo range va assolutamente bloccato con il firewall.

Aggiornamento 9/6/07

Come segnalato nei commenti ora ci sono 3 virus. Ancora una volta mi pare che gli AV in grado di
indentificarli siano pochi (nod32 sicuramente no e la cosa non sorprende, ma avg antispyware si;quest'ultimo prodotto è fortemente consigliato almeno come scanner on-demand ). Questi file mi pare che siano di origine sudamericana o spagnola.

Il falso Google.it

2007-06-05T16:15:00.001+02:00

Doppio aggiornamento oggi: sembra che sia scoppiata la moda dei falsi motori di ricerca.
Questo in relazione al malware di katasearch ed anche extraricerca.

ecco a voi hxxp://www.qoogler.com/ ip:208.101.37.109

sullo stesso Ip c'è anche www.gooogle.bz

Katasearch.com aggiorna il malware

2007-06-05T12:09:00.000+02:00

Faccio un veloce aggiornamento per quando riguarda un argomento gia' trattato su questo blog.
Ovvero il malware che di puo' scaricare facendo una ricerca sul falso motore www.katasearch.com
In particolare, il link incriminato è quello del primo risultato.

Il malware non è ancora individuato da molti antivirus e comunque mi pare che venga modificato spesso proprio per sfuggire all'intercettazione.

Purtroppo ancora una volta qui si dimostra la poca efficacia degli antivirus e delle loro euristiche.

Ultima nota: il contatore di accessi addfreestas sul sito www.donwloa-d.com dove il furbacchione puo' sapere quante persone hanno scaricato il malware (non so se sia lo stesso) accesso-diretto.exe :-)

Pagine infette su xoomer.alice.it

2007-06-03T14:51:00.000+02:00

Certo che la sfacciataggine dei nostri amici untori non ha davvero limiti.
Che usino vari spazi gratuiti nel mondo per depositare le loro pagine civetta infette era cosa nota ma che addirittura lo facciano con quelli offerti da xoomer-alice (quindi direttamente qui in Italia) mi pare onestamente eccessivo :-)

Vediamo come procedono se ancora non fosse chiaro:

1) Si procurano un bel malware (meglio se con capacita' di nascondersi alle rilevazioni degli antivirus con tecniche rootkit) che possa a sua volta autoggiornarsi e scaricare altra immondizia così da sottrarci il controllo del pc in modo del tutto silenzioso per rubarci dati sensibili , dirottare il browser , usare il computer per l'invio di spam o attacchi Ddos.

2) Piazzano il malware su un server (in genere sono russi o ucraini come la probabilissima nazionalita' di questi simpaticoni).

3) Creano pagine civetta con exploit in modo che se ci capita sopra con il browser (in particolare con I.Explorer) dopo una serie di reindirizzamenti viene scaricato in modo del tutto automatico il malware senza che ci si accorga di nulla.
(molto divertenti sono le loro frasi di cortesia tipo attendere prego.... il caricamento della pagina mentre in realta' questi istanti servono all'exploit per compromettere in nostro sistema)

4) Spam delle pagine su forum , blog , web-boards.

5) Tecniche di SEO per far si che pagine civetta infette vengano facilmente trovate mentre si fa una ricerca su qualsiasi tipo di argomento su google o sugli altri motori.

Qui sotto:
un esempio di pagina infetta (non andateci e se lo fate solo con firefox con java e javascript disabilitato!)

Un'occhiata al codice ed allo script incriminato.

Spam su forum e blog:

La pagine sono ben indicizzate su google (queste sono tutte infette ed in rosso quella su xoomer)

L'Italia terra di conquista dei predatori del web

2007-05-29T17:00:00.000+02:00

Quando ho aperto questo blog il cui scopo era segnalare indirizzi Ip malevoli e la creazione di una blacklist principalmente anti-gang CoolWebSeach/Gromozon non avrei mai pensato di scoperchiare una sorta di vaso di Pandora. E' una situazione davvero grave. Per quello che ho potuto osservare le piu' grandi minacce vengono da una o piu' organizzazioni russe/ucraine e da furbi di casa nostra anche se il livello di sofisticazione dei malware e i mezzi a disposizione, nel secondo caso, non sono paragonabili a quelli dei nostri amici dell'est .Basta soffermarsi sull'astuzia nello sfruttare le vulnerabilita' con exploit (anche zero day), sui loro rootkit, sui loro server per far capire quanto sia abile e senza scrupoli questa gente.Che il web sia una risorsa strategica per il paese credo che ormai lo sappiano tutti ed i recenti fatti di cronaca in Estonia (uno dei paesi piu' avanzati per quanto riguarda l'informatizzazione) ci fa capire che forse è necessario fare uno sforzo in piu' per la sicurezza.
Certo è veramente irritante vedere quanti siti stranieri (ed anche nazionali) offrano dialer per il cosiddetto "italian traffic".

I prefissi sono di solito 899, 892 ,0088 per i satellitari.
Ovviamente questi furbacchioni hanno la capacita' di filtrare il traffico italiano attraverso un controllo degli IP.

Questa è una conversazione di qualche tempo fa avvenuta su un forum che mostra come si
"vende" questo tipo di "merce".In questo caso si tratta di uno di callsolutions:

http://www.videosboard.com/showthread.php?p=114802#post114802

Non so se pubblicare i siti di questi simpaticoni perche' non forrei fargli della pubblicita' gratuita.
A dire il vero questo blog non ha molte visite ma per questo problema potrei sempre rivolgermi a johnruffo.com con le sue offerte di pc zombie :-).
Se poi ci piazzo anche un bel dialer allora si che divento ricco.
Se non puoi batterli alleati con loro :-)

Ecco alcuni screenshot di siti internazionali (questi sono russi) :

Da quest'ultimo sito cito:
"Why Italy? Because it is best in dialing... Try it now"
che suona un po' come: Perchè' l'Italia? Perche' sono i piu' imbecilloni.Provare per credere :-)

working in progress............

Ancora "nuove" furbate per infettare

2007-05-25T16:03:00.000+02:00

Aggiornamento velocissimo per segnalarare l'n-esima furbata (fonte pcalsicuro.com)

http://www.pcalsicuro.com/main/2007/05/gli-avvocati-si-danno-al-typosquatting/

Falso codec, falsa toolbar , falso motore di ricerca

Gli Ip segnalati nell'articolo erano gia' da tempo nella mia blacklist

AGGIORNAMENTO 26/5/07

bloccare il domini www.extraricerca.com (niente Ip questa volta perchè ci sono altri siti validi)
e www.katasearch.com , ragazze-spiate.com , www.downloa-d.com

sullo stesso Ip di katasearch ci sono anche:

1) coppiettaveneta.com
2) doggyshock.com
3) gooogle.bz
4) johnruffo.com
5) playmore.biz
6) preferiti-windows.com
7) prodopixel.com
8) ricercadoppia.com
9) sessosubito.net

(anche questi da bloccare)

Interessante notare il sito johnruffo.com che gia' mi era stato segnalato tempo fa (gira che ti rigira dietro a queste cose ci sono sempre le stesse persone che usano piu' o meno le medesime modalita' per fregare la gente)

Vulnerabilità in Nod32 antivirus

2007-05-24T13:35:00.000+02:00

Velocissima segnalazione di una vulnerabilità dell'antivirus Nod32 (fonte secunia)

http://secunia.com/advisories/25375/

E' consigliato un aggiornamento alla versione 2.70.39

Aggiornamenti e consigli

2007-05-22T12:02:00.000+02:00

Aggiorno il blog facendo semplicemente alcune riflessioni.
E' bello vedere la capacita' di reazione degli hoster italiani di fronte alle infezioni che vengono segnalate:-). Rapidita' ed efficienza sono le parole d'ordine.
La societa' italiana hostingsolutions continua a fare da untore con pagine web modificate dai soliti noti nonostante siano stati informati.

Da Tiscali , nonostante abbia segnalato lo script malevolo mostrato su un post precedente a piu' persone, nessuna risposta.

Detto questo, anche se non è lo scopo di questo spazio, suggerisco questo link di spywarewarrior dove potete trovare una lista abbastanza completa di software hips , sandbox e altri programmi di virtualizzazione che ormai stanno diventando indispensabili per proteggersi dai malware.

http://www.spywarewarrior.com/uiuc/soft5.htm

A questa lista aggiungerei alcuni programmi di cui ho sentito parlare bene ma che NON ho provato.

PowerShadow
FirstDefense-ISR.Pro

Se siete a conoscenza di altri software di valore che non sono inseriti in quella lista potete aggiungerli nei commenti.Grazie

Un nuovo range di Ip pericoloso

2007-05-17T14:18:00.000+02:00

Veloce aggiornamento per mostare delle pagine di esempio infette e un nuovo blocco di Ip che credo possa essere particolarmente pericoloso

87.248.163.0 - 87.248.163.255 SC STARNET SRL Moldova

questa pagina è ospitata sul server 87.248.163.55

Interessante mostrare anche questa qui sotto

che si presenta come una pagina di errore :-)

Quest'ultima è ospitata su un blocco inserito da tempo nella mia blacklist

Chi c'è dietro i dialer?

2007-05-16T22:22:00.000+02:00

Prendo spunto dal seguente post sul sito pcalsicuro.com

http://www.pcalsicuro.com/main/2007/05/se-non-e-la-municipale-e-la-polizia/

per affrontare il tema dei dialer e dei servizi telefonici a valore aggiunto
Se qualcuno si chiede chi ci guadagna con queste cose puo' dare un'occhiata a questi 2 link

http://www.fastpath.it/dialer/operatori.html

http://www.fastpath.it/dialer/index.php

Come potrete notare nella lista ci sono anche aziende del calibro di :

BT Italia S.p.A.
DADA S.p.A.
Eutelia S.p.A.
FastWeb S.p.A.
H3G S.p.A.
Kataweb S.p.A.
Tele2 Italia S.p.A.
Telecom Italia S.p.A.
Tiscali Italia S.r.l.
Vodafone Omnitel N.V.
Wind Telecomunicazioni S.p.A.

Per tutelarsi dai rischi di bollette astronomiche (ma non dalle infezioni da dialer) si possono disabilitare gratuitamente i prefissi a tariffazione speciale come suggerito qui:

http://www.megalab.it/news.php?id=1594

Una pagina web su 10 è infetta da malware

2007-05-14T15:57:00.000+02:00

Faccio una velocissima segnalazione di un interessante articolo di punto informatico.

http://punto-informatico.it/p.aspx?id=1984609&r=PI

Secondo google una pagina web su 10 è infetta da malware!

Non credo servano ulteriori commenti.

Un post interessante su arstechnica.com

2007-05-10T15:52:00.000+02:00

Non ho il tempo di approfondire ma riporto un post piuttosto interessante che ho scovato
su arstechnica.com che riguarda problemi con il PHP.

http://episteme.arstechnica.com/eve/forums/a/tpc/f/469092836/m/564006954831

anche qui c' è una blacklist di Ip.

Gli archivi di Gromozon

2007-05-09T14:30:00.000+02:00

Questa notizia non è proprio freschissima:
Puo' darsi che qualcuno facendo una ricerca sui vari motori possa incappare in archivi su svariati argomenti come ad esempio ricette, cinema, musica, programmi ecc. messi a disposizione dai nostri amici di Gromozon.
Tutti questi "archivi" hanno i soliti infami exploit e sono ospitati sul server di indirizzo Ip 69.50.177.22. (gia' presente nella mia blacklist)
Ecco una mini lista di esempio:

mprogrammi.net
2farmaci.net
7farmacia.net
Aerodoc.net
in-cinema.net
infarmaci.net
ingiochi.com
itpublimidi.com
gmusica.net
iricette.net
ecc.

Ma sono molti di piu'

P.s. Per quanto riguarda il post precedente rimane ancora scandalosa la situazione della societa' italiana hostingsolutions con moltissime pagine di clienti infette!!

Ancora gravissima la situazione di Hosting Solutions!!

2007-05-02T12:44:00.000+02:00

La societa' Hosting Solutions che ospita su i suoi sever moltissimi siti web ha subito una intrusione.
I siti infetti ospitati sulle loro macchine sono tantissimi e la situazione mi pare piuttosto grave.

http://www.pcalsicuro.com/main/2007/04/possibile-intrusione-nei-sistemi-hosting-solutions/

solo sui sever 194.242.61.210 e 194.242.61.181 ce ne sono parecchi (dell'ordine delle centinaia per singolo server)

un esempio:

www.cedifmodena.it
affittiinsardegna.it
csipiemonteaosta.it
100percento.com
www.alporto.it
ecc...
e qui è presente anche il sito di R.Vecchioni.

Il blocco di Ip assegnato alla societa' italiana Hosting Solutions è questo
194.242.61.0 - 194.242.61.255
Non si tratta di pagine malevole create ad arte ma di hack di siti del tutto legittimi e quindi per questo molto piu' pericolosi.

Importantissimo bloccare i seguenti Ip

194.146.207.23
58.65.239.180
81.95.149.114
64.62.137.149
Aggiornamento
81.177.8.30
81.95.148.42

che sono presenti gia' nella mia blacklist

Messaggi personali su forum con sorpresa

2007-05-01T10:53:00.000+02:00

Onestamente non pensavo che un mezzo di diffusione di virus potessero essere i messaggi personali dei forum. Molto piu' facile è postare il link infetto direttamente o mandarlo con la posta.

http://forum.freeonline.it/forum/viewtopic.php?t=3097

Invece tutto fa brodo.

Il sito di R.Vecchioni è ancora infetto

2007-04-30T11:32:00.000+02:00

Sembra davvero incredibile ma perfino la pagina che ci informa che il sito ha subito un attacco informatico è infetta.

Ormai la situazione va avanti da parecchi giorni. Il server è "bucato" e ancora non sono riusciti a sistemare la vulnerabilita'.
Tutte le info sono qui
http://www.pcalsicuro.com/main/2007/04/roberto-vecchioni-vittima-della-vulnerabilita-ani/

Gli ip malevoli sono gia' nella blacklist

L'astuzia del team Gromozon

2007-04-26T23:26:00.000+02:00

Faccio un post rapido per far capire la furbizia dei nostri carissimi amici "untori" del web.

Ecco un piccolo "campione" delle stranote pagine civetta

hxxp://www.photosuhop.org/gratis-programmi/programmi-dj-gratis.php
hxxp://www.circqcolo.org/programmi/programmi.php
hxxp://www.totonx59.org/parole/software-cruciverba.php

tutte queste pagine si trovano nel blocco di Isprime USA (gia' presente nella blacklist)

e visitandole il browser (anche Firefox) viene dirottato verso l'Ucraina destinazione server
NETCATHOST dove come sempre vengono ospitati malware e rootkit di ogni genere.

Ma se digitiamo nel browser soltanto il dominio come ad esempio www.photosuhop.org
otteniamo questo rassicurante messaggio

Occhio a bestfreehost.org!

Navigare su siti "sicuri"

2007-04-26T10:49:00.000+02:00

Una news sul sito pcalsicuro
http://www.pcalsicuro.com/main/2007/04/roberto-vecchioni-vittima-della-vulnerabilita-ani/
mi da lo spunto per fare alcune rapide riflessioni.
Anche quando si accede a pagine potenzialmente sicure non si puo' stare completamente tranquilli perche' alcuni server possono essere "bucati" e il codice delle pagine web modificato.
Solo per citarne alcuni: quest'ultimo caso del sito di R.Vecchioni oppure quello ancora piu' clamoroso di Asus.
Ormai usare browser come Firefox e Opera non è piu' una scelta ma un'esigenza improcrastinabile.
C'è da dire inoltre che i siti che necessitano esclusivamente di I.E. per essere visualizzati correttamente sono sempre di meno.Ma anche questi browser non sono invulnerabili.
Per chi usa Firefox una estensione davvero ottima che aumenta il grado di sicurezza è Noscript . Ma anche qui uno potrebbe essere "fregato" dal fatto che il sito è "sicuro" e affidabile quindi permettere l'esecuzione di tutto il codice della pagina.
Allora una soluzione è utilizzare sandboxie che io trovo davvero eccellente.
Questo rende davvero difficile la vita a chi usa pagine web (che siano esse create ad arte o hack di siti puliti) per infettare.Credo che il principale mezzo di diffusione di virus non siano piu' le mail che pero' hanno ancora un discreto successo per il phishing, ma i motori di ricerca che sono abilmente sfruttati tramite tecniche di SEO.
Certo uno potrebbe evitare degli inutili guai se evitasse di finire su siti come questo qui per cercare qualche crack :-)

Statistiche gratis con dialer - aggiornamento

2007-04-23T15:22:00.000+02:00

In un precedente post avevo parlato dei furbetti, in questo caso connazionali, che offrono servizi di statistiche gratis per poi rifilare ai visitatori delle pagine che hanno lo script, un bel dialer.

Avevo inserito la lista dei domini e gli Ip relativi nella blacklist ma mi sembra che questi ultimi siano cambiati.
A differenza di quello che accade con Gromozon team qui sono i domini ad essere importanti

Direi che sia il caso di inserirli nel file Host di windows:

127.0.0.1 Specialstat.com #216.12.223.146
127.0.0.1 Hiperstat.com # 216.12.223.146
127.0.0.1 freestat.ws # 216.12.223.146
127.0.0.1 webmeter.ws #216.12.207.74
127.0.0.1 superstat.info #216.12.207.76 - 216.12.207.77
127.0.0.1 freestats.ws #64.56.68.12 e qui ci sono anche
2) mastergirls.topa100italia.com
3) members.topa100italia.com
4) mp3italia.net
5) mp3italia.org
6) topa100italia.com
127.0.0.1 www.statistiche.ws #216.12.207.75
127.0.0.1 megastat.net #216.12.207.74
127.0.0.1 webmobile.ws #216.12.207.75
127.0.0.1 mystat.ws #216.12.223.146
127.0.0.1 puntostat.com #216.12.207.74
127.0.0.1 schinystat.com #216.12.223.146
127.0.0.1 addfreestats.com #66.118.182.112 *non sono sicuro se sia malevolo*

Alcuni siti associati sono:

hxxp://deposito.hostance.net/dialer/, deposito.quickstaraccess.com, deposito.instantdoor.com 217.199.177.237
hxxp://www.trafficredlight.net/ 66.98.234.86
hxxp://www.easyaccesssite.com 66.98.226.25
hxxp://flat.instantdoor.com 212.39.31.11
hxxp://www.traffic-advance.net 66.98.234.86
hxxp://extra.advertising.com.bestpage-com.biz , www.page-extras.biz 207.218.211.2

da bloccare poi il range 216.12.207.67 - 216.12.207.73
dove ci sono pagine che fanno scaricare dialer

Ancora pagine civetta di CWS/Gromozon

2007-04-19T14:47:00.000+02:00

Faccio un rapido post per mostrare un nuovo tipo di pagine civetta. Gromozon team si avvicina ad uno stile piu' sobrio.

L'ip è 208.70.75.153 , che ho appena inserito nella blacklist. A questo indirizzo puntano come al solito moltissimi domini (dovrebbero essere 1200 )

Le keyword studiate per il SEO (search engine optimization) sono nascoste. Interessante notare dove sono collocate queste nuove pagine:

OrgName: AirlineReservations.Com, Inc.
OrgID: AIRLIN-5
Address: 600 W. 7th
Street Address: Suite 360 City: Los Angeles
StateProv: CA
PostalCode: 90017
Country: US
NetRange: 208.70.72.0 - 208.70.79.255
CIDR: 208.70.72.0/21
NetName: AIRLINERES-CALPOP-COM
NetHandle: NET-208-70-72-0-1
Parent: NET-208-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.CALPOP.COM
NameServer: NS2.CALPOP.COM
Comment: RegDate: 2006-09-12
Updated: 2006-09-13

nel codice è presente come al solito un iframe che punta qui:

hxxp://81.29.241.231/user2/neon0089/index.php


In  questo periodo i range di ip relativi a UPL TELECOM, s.r.o. Czech Republic sono molto pericolosi

81.29.240.0 - 81.29.242.63
82.208.60.0 - 82.208.63.255
217.11.233.0 - 217.11.233.255
81.0.250.0 - 81.0.250.255

Aggiornamento: anche questo iframe
hxxp://81.29.241.237/acc2/work0089/index.php

Gromozon team colpisce con Worm Skype?

2007-04-18T03:47:00.000+02:00

C'è una interessantissima notizia pubblicata sul sito della famosa societa' antivirus F-secure

http://www.f-secure.com/weblog/archives/archive-042007.html#00001169

Molto interessante è in realtà questa lista di siti web associati al worm
hxxp://aras.lookingat.us/index.htm hxxp://asilas.my-php.net/index.html hxxp://bobodada.3-hosting.net/index.html hxxp://bobos45.bebto.com/index.html hxxp://gogo442.hatesit.com/index.html hxxp://jackdaniels.110mb.com/index.html hxxp://timboss.1majorhost.com/index.html hxxp://zozole.php0h.com/index.htmlAlcuni IP (195.242.99.102, 209.190.85.230) erano in gia' presenti nella mia blacklist perche' ospitavano siti civetta di CWS/Gromozon Qui ci sono tutte le informazioni su questo virus: Link Symantec Link Sophos

Italian Search Portal by Gromozon

2007-04-16T20:45:00.000+02:00

Per la serie "non si puo' stare mai tranquilli" ecco qui un bel "portale" tutto per l'Italia sfornato da team CWS/Gromozon. Questa nuova meraviglia del web la potete vedere qui (server UAONLINE)

ed ecco un esempio di quello che potete trovare utilizzando questo nuovo oracolo della rete:

Sembra che l'accoppiata falso antispyware - porno sia particolarmente interessante per i nostri amici. Ricorre con una certa costanza :-)
Questa news è piu' una nota di colore che altro (notare le immagini usate nei 2 siti, peccato non ci sia un piatto di spaghetti e il mandolino) , visto che gli Ip corrispondenti sono già da tempo nella blacklist.

Codec-Virus per porno allocchi - aggiornamento

2007-04-14T12:45:00.000+02:00

Come al solito faccio un velicissimo aggiornamento perchè un codec-virus non mi sembra al momento che venga intercettato dagli antivirus piu' famosi.

Il falso codec viene scaricato da qui

hxxp://www.amediaproject.com/download.php?id=718 (85.255.113.221)
Server INHOSTER.

Ci sono incappato attraverso il solito perverso meccanismo di reindirizzamento e strategie di ingegneria sociale. Semplificando un po':

Server UK -----> Server Ceco -----> Sever Ucraino
UK-UAONLINE---> UPL TELECOM s.r.o ----> INHOSTER

N.b. UA è la sigla dell'Ucraina

Inviato sample a KasperskyLab: ora file riconosciuto come Trojan-downloader.win32.Zlob.bqt

Codec-Virus per porno allocchi

2007-04-13T21:56:00.000+02:00

Come al solito il web è sempre pieno di "sole, tarocchi, trabocchetti" ecc.
Ecco una bellissima nuova pagina civetta di CWS/Gromozon team

hxxp://vibrius.1sweethost.com/

dove sono presenti moltissimi link..
cliccando su uno qualsiasi si viene reindirizzati verso

hxxp://superpornmovies.info/movies43 Ip 81.95.149.114 (Russia)

ma non senza farci fare prima un bel giretto su un server di INHOSTER 85.255.118.122-xbox.dedi.inhoster.com (Ucraina)

Poi basta semplicemente un click su una dell'immagini della pagina per poter visualizzare il meritato video pornografico e si ottiene il seguente risultato:

Il solito trucco del virus mascherato da codec video

Attenzione che anche con firefox il download parte automaticamente.

Disabilitate Java e Javascript se volete curiosare.

Un'ultima annotazione per chi va a "caccia":

Credo che questi siti siano da tenere sott'occhio perche' possono essere coinvolti direttamente o indirettamente con Team Gromozon anche se sembrano in apparenza puliti

jupiter.bravenet.com
www.1sweethost.com
www.hostcritique.com
www.0catch.com
www.bluehost.com
www.ossetia.com
www.designcart.com
www.simplepetcare.com
www.hostmonster.com
www.discountlaptops.com

Lista siti con restrizioni per I.E.

2007-04-12T12:51:00.000+02:00

Ho ricevuto da parte di TNT una lista da importare nei siti con restrizioni per I.E.
TNT è un ricercatore italiano che lavora per un'importante societa' americana che si occupa di sicurezza e ha analizzato con molta cura il fenomeno "gromozon" oltre ad essere stato uno di quelli che ne ha compreso la reale portata e pericolosita'.
Pero' ha un gravissimo difetto: non aggiorna mai il suo blog che ha informazioni tecniche molto piu' dettagliate delle mie. :-)
Scherzi a parte, la lista si trova qui (nuovo link) e puo' essere importata con ZonedOut scaricabile da

http://www.funkytoad.com/content/view/15/33/

Poi ci sono anche altri sistemi per rendere un po' piu' sicuro I.E.
come ad esempio utilizzarlo con Sandboxie

oppure con Amust 1-Defender che pero' non ho mai usato e quindi non so lo sua efficacia

o abbassare i diritti amministrativi con DropMyRights

Sul web utilizzando i Dns di Gromozon Team

2007-04-11T13:45:00.000+02:00

Il team di Gromozon mette a disposizione i suoi server DNS :-)
come sempre localizzati in Ucraina ed ospitati dalla famigerata societa' INHOSTER.
Una autentica garanzia se si tratta di spam, scam, malware e rootkit.
Nella loro infinita' generosita' ci invitano ad utilizzare il loro pregevole servizio nel sito

hxxp://www.domainserror.com

e ci spiegano passo passo come cambiarli sia con win9x sia con win2000/xp con dettagliate screenshot. Oppure nel caso in cui fossimo pigri c'è un bell'exe pronto che fa questo lavoro :-)

hxxp://www.domainserror.com/setup.exe

Da notare che sia l'ottimo Antivir sia AVG non individuano il virus.

Non vedo l'ora di cambiare i miei DNS con i loro così potro' finalmente accedere al mio c/c bancario in piena sicurezza :-)

DA EVITARE COME LA PESTE BUBBONICA