Statistiche gratis con exploit

Spesso si cercano societa' che offrono servizi di statistiche gratuite per il nostro sito .
Ma attenzione non tutto è come sembra.
Mentre facevo la mia solita ricerca per stanare qualche infame Ip mi sono imbattuto in
----www.0stats.com----- 67.15.58.196

Registrant:
Comunicare pic. soc. cop. snc
Via 2 giugno 22
bottanuco, BG 24040 IT

Domain name: 0STATS.COM
Administrative Contact:
Vigotti, Francesco
Via 2 giugno 22
bottanuco, BG 24040 IT
+39 3487398980
Technical Contact:
Vigotti, Francesco
Via 2 giugno 22
bottanuco, BG 24040 IT
+39 3487398980

Registration Service Provider:
Everyones Internet,
http://www.ev1servers.net

Registrar of Record: TUCOWS, INC.
Record last updated on 05-Sep-2006.
Record expires on 08-Jun-2007.
Record created on 08-Jun-2003.

Domain servers in listed order:
NS1.EV1SERVERS.NET 207.218.245.135
NS2.EV1SERVERS.NET 207.218.247.135

cliccando su demo esce fuori questa bella sorpresa



Sui pericoli dei servizi di statistiche gratis vi invito a leggere questo ottimo articolo su
http://www.zeusnews.it/index.php3?ar=stampa&cod=4325

alcuni da evitare come la peste bubbonica sono:

- Specialstat.com
- Hiperstat.com
- freestat.ws
- webmeter.ws
- superstat.info
- freestats.ws
- www.statistiche.ws
- megastat.net
- webmobile.ws
- mystat.ws
- puntostat.com
- addfreestats.com *non sono sicuro se sia malevolo*
- schinystat.com ecc.

Gli IP sono gia' nella blacklist

Aggiornamenti Blacklist

Importanti aggiornamenti della blacklist anti-cws/gromozon.
Sono stati aggiunti alcuni server in turchia molto pericolosi.
La lista come al solito è a questo indirizzo:

http://maipiugromozon.blogspot.com/2007/01/lista-ip-da-bloccare.html

Colgo l'occasione per segnalarvi questo interessante articolo di zeusnews su
come (non) infettarsi visualizzando un banner in flash:

http://www.zeusnews.it/index.php3?ar=stampa&cod=4882

Gromozon e il falso Lycos

Devo dire che questi di gromozon hanno una grande inventiva.
Di siti civetta ne ho visti di tutti i tipi ma un clone di lycos italia ancora non mi era capitato :-)
L'ho scovato facendo la solita analisi del codice della pagina di un sito esca ed in particolare di uno script molto semplice.
Il sito è ----lycos.50webs.com------ (non so faccio bene a scriverlo in chiaro ma credo sia meglio)



Analizzando il codice di quest'ultima si puo' notare il solito infame iframe che vuole farci infettare.



A proposito di San Valentino vorrei suggerire di stare molto attenti (sempre che qualcuno sia interessato) a cercare una bella moglie russa o ucraina (difficile non essere attirati dallo straordinario fascino delle ragazze dell'est) sulle varie agenzie che offrono questo servizio perche' spesso sono collegate a siti o ospitate su server CWS/GROMOZON.
Per smascherare questo tipo di truffe ci sono vari siti specializzati per cui non credo ci sia bisogno di approfondire troppo :-)


Concludendo ... nella sostanza nulla di nuovo sotto il sole ma comunque mi andava di convidere queste informazioni :-)

Ancora sugli Antivirus

Un nuovo virus che stazionava tranquillo nella cartella incoming di emule mi ha dato lo spunto per fare alcune rapide considerazioni sugli AV.
Per quella che è la mia esperienza i migliori in questo momento e sottilineo in questo momento perche' le situazioni mutano velocemente sono:

- Kaspersky 6
- Nod32 2.7
- Antivir 7

Prodotti storici come Symantec e Mcafee non sono piu' all'altezza della situazione e l'immagine qui sotto ne è l' n-esima conferma.

Blacklist di CoolWebSeach

Per coloro che sono pigri metto la blacklist di IP di CoolWebSeach del sito www.webhelper4u.net.

Range di Ip di CoolWebSearch

Come potete vedere molti range sono gia' stati da me segnalati in fondo alla pagina nell'altra lista.
Ovviamente mettendo insieme le 2 liste aumenta la probabilita' di filtrare:

- siti civetta
- falsi antispyware (come ad esempio spysheriff o spyaxe )
- server che ospitano virus e malware

con evidenti benefici per la nostra salute psicofisica :-)

Delusione da Kaspersky AV 6

Kaspersky 6 è considerato dalla maggior parte degli esperti del settore sicurezza il migliore AV in circolazione (Questa fama è stata conquistata nel corso degli anni perche' all'inzio davvero non era così straordinario). Non credo sia solo la mia convinzione ma anche di tutti quelli che leggono con una certa costanza i test comparativi (ad es. www.av-comparatives.org). Anche nell'esperienza quotidiana devo dire che kaspersky ha sempre superato nella capacita' di individuazione il leggerissimo Eset nod32 che è un altro degli antivirus che uso solitamente.
Il fatto che un AV non rilevi una minaccia non è una cosa particolarmente sorprendente.
E' invece insolito che moltissimi altri su virustotal.com erano in grado di scovare l'infezione mentre kaspersky no.
Anche i primi della classe possono essere impreparati qualche volta:-)

N.b. La prova è stata fatta con Kaspersky 6 aggiornatissimo



Aggiornamento: Ho appena ricevuto la mail da KasperskyLab e sono passate solo 2 ore da quando ho inviato il file per l'analisi. Ora è riconosciuto come Trojan-Downloader.Win32.Agent.zf

Ancora malware sui siti civetta

Come al solito mentre facevo la mi solita ricerca su
google mi sono imbattuto nel solito sito civetta che sta su
questo IP 65.23.153.93 (che è gia' nella blacklist)
Qui sono presenti un bel virus , Sexo.exe (mi pare
si tratti di un downloader) e exploit che
che tentano in tutti i modi di farci collegare al sito
-----www.mypornoxxx[edit].com IP 85.255.114.138
per fare scaricare il file
svchost.exe che dovrebbe essere un dialer o almeno mi sembra da un velocissima
analisi. Questo file ricorda molto il famoso master69 ed anche il sito
a cui è collegato è infodialer (67.15.119.27) che è lo stesso appunto dei tristissimi master69, sgrunt, skymasters ecc.
Fortunatamente tutti gli antivirus piu' noti aggiornati, nel momento in cui scrivo, sono in grado di riconoscere la minaccia, fatta eccezione di prevx1 e dell'AV Microsoft almeno per quello che sono i risultati su virustotal.com



Mi è appena arrivata una segnalazione interessantissima:
Non entro nei dettagli ma aggiungo subito nuovi IP da bloccare che sono in russia e che
sono coinvolti con Gromozon team

L'attacco al web italiano continua

Purtroppo per quanto Google con una certa regolarita' dia una ripulita al suo DB rimuovendo i siti civetta del team Gromozon o per meglio dire del team CoolWebSearch/Gromozon (visto che probabilmente si tratta sempre delle stesse persone) dal suo motore di ricerca, la possibilita' di finirci sopra è ancora altissima. C'è una grande quantita' siti attivi, anche .it.
Qualche esempio:

IMPORTANTE!! NON CI ANDATE PER NESSUNA RAGIONE E SE PROPRIO DOVETE CON FIREFOX O OPERA CON JAVA E JAVASCRIPT DISABILITATI E CON S.O. E ANTIVIRUS AGGIORNATI!!!!

-----www.cripiossasco.it------ che era un sito della croce rossa che adesso è stato registrato da loro
-------www.boccondivinosrl.it--------
-------www.primadituttolapace.it----
ecc......

Come al solito è impossibile metterli tutti perche' la lista è infinita e
dovrebbero essere tutti domini che sono stati lasciati liberi da utenti che ne facevano un normale uso ( non fraudolento) e che adesso sono stati occupati per infettare mezz'Italia.

Tra questi metterei anche l'infame dominio -------- mprogrammi.net-------
che davvero è facilissimo trovare con una ricerca.
comunque la Blacklist degli IP è stata prontamente aggiornata
e si trova su questo link

Il googlebombing ha i giorni contati?

Sembra ci sia una buona notizia che ci aiutera' a correre meno pericoli quando utilizzeremo google per le nostre ricerche.
Ovviamente questo avra' ricadute positive anche sul problema gromozon visto che i siti civetta sono indicizzati molto bene sfruttando questa tecnica.

A causa del calo di immagine e delle proteste il più noto motore di ricerca si impegnerà per arginare il googlebombing.

[ZEUS News - www.zeusnews.it - 01-02-2007]