La fine di Estdomains

Dopo anni di attivita' illecite scompare finalmente dalla rete Estdomains inc.
I domini registrati dalla societa' con base in Estonia passano sotto la gestione di ResellerClub del gruppo indiano Directi.

Italian Job 3 :compromessi siti web su server Tiscali

Come avevo immaginato sono almeno centinaia i siti web compromessi con script malevoli sul server di Tiscali con ip 213.205.40.169.
Una lista incompleta (ad esempio mancano quelli che ho segnalato io) la potete trovare sul blog dell'amico edgar:

http://edetools.blogspot.com/2008/11/aggiornamento-situazione-siti-colpiti.html

Così come un'analisi degli exploit per infettare il vs. computer

http://edetools.blogspot.com/2008/11/il-contenuto-delle-pagine-linkate.html
http://edetools.blogspot.com/2008/11/aggiornamento-attacco-siti-web-su.html


Fortunatamente alcuni sono segnalati da google



e firefox 3 ( che vi invito fortemente ad usare)




AGGIORNAMENTO 10/11/08

Un veloce aggiornamento per mostrare alcuni tipi di virus dell'attacco (denominazione Kaspersky AV) :

hxxp://62.16.112.143/e/[edit]load.php?ssv is infected with Trojan.Win32.Agent.amku
hxxp://79.135.167.63/x/[edit]load.php?ssv is infected with Trojan.Win32.Agent.amku
hxxp://79.135.167.63/d/[edit]load.php?ssv is infected with Trojan-Downloader.Win32.Agent.aoja
hxxp://78.109.25.199/[edit]load.php?ssv is infected with Trojan-Downloader.Win32.Agent.aoja

Un nuovo hack di massa sui server di Tiscali?

Dopo i clamorosi attacchi perpetrati ai danni di hoster italiani come aruba , seeweb , hostingsolutions
degli scorsi anni
potrebbe essere in atto o c'è gia' stato un nuovo hack di massa su server tiscali.
Non credo che avro' il tempo do verificare la cosa ma ho notato la presenza di javascript offuscati che celavano i soliti iframe infetti.

In particolare sul server 213.205.40.169 risultano compromessi i domini

www.reperunanotte.it
www.accaddeoggi.it
www.reggiavenariareale.it
www.medicidigruppo.it






e www.adipa.org



www.dellotto.it

iframe malevolo in chiaro ( server dell'attacco 79.135.167.63 )


Se qualcuno volesse verificare se ce ne sono altri sul server (ancora meglio su tutto il range) , magari utilizzando il tool webscanner di edgar, sarebbe molto utile.

Cybercriminalita': anche la stampa italiana si sveglia

Dopo anni di torpore anche la stampa italiana pubblica 2 interessanti articoli sul fenomeno
della cybercriminalita' dilagante sul web:

Il primo è della stampa di torino:

http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=5116&ID_sezione=38&sezione=News

L'altro dell'espresso:

http://demo.extra.kataweb.it/eolextrademo/eol.jsp?id=1891462&page=article&giornale=espresso

Estdomains alla resa dei conti

Dopo la scomparsa dell'infame hoster Atrivo/Intercage, c'è un'altra bellissima notizia.
L'ICANN sta per escludere dalla lista della societa' accreditate per registrare i domini Estdomains
Inc.

Tutti i dettagli li potete leggere sul blog della famosa azienda finlandese F-secure.

http://www.f-secure.com/weblog/archives/00001522.html



I prossimi ad essere buttati fuori della rete spero siano quelli dalle gang russa di Klikrevenue.


AGGIORNAMENTO 30/10/08

Ulteriori sviluppi qui, con la risposta di quelle anime pie di Estdomains:

http://www.icann.org/en/announcements/announcement-2-29oct08-en.htm


Riportano la notizia anche il washingtonpost e Zdnet

http://voices.washingtonpost.com/securityfix/2008/10/icann_de-accredits_estdomains.html?hpid=sec-tech

http://blogs.zdnet.com/security/?p=2089


qui invece qualcosa in italiano:

http://www.sicurezzainformatica.it/2008/10/estdomains-de-accreditato-da-icann.html

Atrivo/Intercage (AS27595) off-line

Per la serie good news sembra che uno dei piu' famosi network di cybercriminali del mondo sia finalmente off-line.
Pare infatti che estdomains (l'infame registro di domini fraudolenti) abbia spostato il suo sito che prima era ospitato da atrivo/intercage USA , sul server 94.102.49.4
e esthost.com su 94.102.49.3

Ecatel LTD NETHERLANDS
94.102.48.0 - 94.102.63.255

Staremo a vedere come si evolvera' la situazione nei prossimi giorni.

AGGIORNAMENTO

Atrivo ha trovato ancora una volta un nuovo fornitore di accesso dopo che molti gli avevano "staccato la spina". Si tratta di

 AS23342         UNITEDLAYER - Unitedlayer, Inc



Articoli sulla scomparsa dell'infame Atrivo/Intercage

http://www.pcworld.com/article/151386/.html?tk=rss_news

http://rbnexploit.blogspot.com/2008/09/rbn-atrivo-goes-dark.html

Sul forum di malwaredomainlist.com c'è una discussione su estdomains

http://www.malwaredomainlist.com/forums/index.php?topic=2180.0



Un altro interessante articolo è su arstechnica

http://arstechnica.com/news.ars/post/20080923-bad-seed-isp-atrivo-cut-off-from-rest-of-the-internet.html


AGGIORNAMENTO 25/9/08

Estdomains continua la ricerca di una nuova casa.
Attualmente il dominio dell'infame registro punta al server 78.157.142.165 Latvia Vdhost Ltd
appartente ad un blocco gia' noto per ospitare malware e falsi antivirus.

AGGIORNAMENTO II - 25/9/08

Estdomains ha trovato la sua naturale collocazione. Il server russo 83.171.76.98 è
di una societa' di SanPietroburgo (probabilmente la capitale mondiale del cybercrime)
ZAO Petersburg Transit Telecom (PTT).

Qui nessuno potra' buttarli fuori dalla rete.

AGGIORNAMENTO III - 28/9/08

Atrivo/intercage sembra effettivamente sparita dalla rete :-)

Estdomains: il registro della cybercriminalita' organizzata

Se avete preso un virus o un malware (falsi codec, falsi Antivirus/antispyware, exploit ,ecc. ) negli ultimi 4 anni sappiate che c'è una altissima probabilita' che il dominio del sito da cui avete scaricato la spazzatura sia stato registrato da Estdomains. Per chi legge questo blog o si occupa un minimo di sicurezza è cosa stranota.

Cos'è Estdomains? Per farla breve è il registro delle cybercriminalita' organizzata russa ed ha base in Estonia.

Grazie alla brillante inchiesta del washingtonpost possiamo finalmente avere maggiori informazioni su questa piaga assoluta del web, che sembrava essere intoccabile, forte di una impunita' totale.


http://voices.washingtonpost.com/securityfix/2008/09/estdomains.html

http://voices.washingtonpost.com/securityfix/2008/09/estdomains_a_sordid_history_an.html


Vi invito a leggere con attenzione entrambi gli articoli

I criminali di RBN e Atrivo sempre di piu' sotto i riflettori

Dopo la pausa estiva eccoci ancora qui a parlare di cybercriminali e di malware.Per capirne qualcosa in piu', provo a segnalarvi 2 articoli veramente molto interessanti. Entrambi puntano il dito sull' infame RBN (russian business network) e sull' hoster atrivo/intercage le cui attivita' fraudolente hanno avuto sempre ampio spazio su questo blog.



Il primo è del washington post:
http://voices.washingtonpost.com/securityfix/2008/08/report_slams_us_host_as_major.html

Il secondo lo potete trovare sul blog RBNExploit:

http://rbnexploit.blogspot.com/2008/08/rbn-atrivo-cyber-crime-usa.html



Buona lettura :-)

P.s.

Aggiungo anche questo di spamhaus:

http://www.spamhaus.org/news.lasso?article=636

Mail Novelty Designs: Riciclaggio di denaro sporco

Attenzione alle false offerte di lavoro ed in particolare quelle che vi chiedono di aprire un c/c bancario su cui far transitare somme di denaro di dubbia provenienza per poi trattenere una percentuale di quello che viene depositato.

La mail arriva dalla fantomatica Novelty Designs a nome di un certo Kollias Panagiotis

"TUTTO CIO' CHE DOVRAI FARE E' RICEVERE I PAGAMENTI DAI MIEI CLIENTI IN EUROPA (DIPENDE DALLA LOCALITA' IN CUI TI TROVI) E INCASSARLI NELLA TUA BANCA. DEDURRAI DALLA CIFRA IL 10%, QUALE COMMISSIONE PER L'ESERCIZIO DA TE SVOLTO, E TRASFERIRAI IL RESTO AL RAGIONIERE DELLA SOCIETA' PER MEZZO DI WESTERN UNION MONEY TRANSFER, MONEYGRAM INTERNATIONAL, ECC."

SI TRATTA DI UNA CLASSICA ATTIVITA' DI RICICLAGGIO DI DENARO SPORCO.

Ancora russi dietro al GPcode Ransomware?

In questi giorni si fa un gran parlare di una nuova terribile versione del Ransomware Gpcode in grado di criptare con un algoritmo di cifratura forte (il che significa che senza chiave è praticamente impossibile decodificare i dati) determinati file contenuti nell'hard disk (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h e altri)
Lo scopo è naturalmente chiedere un "riscatto", che in questo caso puo' essere di 100/200 dollari.Dopo aver versato la somma verra' inviato un decrittatore.
Secondo Dancho Danchev dietro a questa operazione ci sarebbero dei russi.
La cosa davvero non è molto sorprendente visto che una parte consistente (la maggioranza) degli attuali cybercriminali provengono o da paesi dell'ex-unione sovietica o dalla cina.




Qui potete trovare il post che contiene alcune interessanti informazioni: http://ddanchev.blogspot.com/2008/06/whos-behind-gpcode-ransomware.html

Per chi ne volesse sapere di piu' puo' dare un'occhiata qui:

http://www.hwupgrade.it/forum/showthread.php?t=1759063

e qui

http://www.pianetapc.it/view.php?id=1078


Attualmente non so indicare la diffusione del malware sia a livello globale sia nel nostro paese.
KasperskyLab questa volta non è riuscita a risolvere il problema ed i tecnici della societa' hanno proposto uno sforzo comune per sconfiggere questa nuova infame minaccia.

Quindi l'unica cosa che vi posso raccomandare è un BACK-UP dei dati importanti

Capire RBN: dal virus Zlob ai siti di affiliazione per falsi antivirus

Questa volta partiremo dal tentativo di trovare questo blog utilizzando un motore di ricerca per mostrare tutta una serie di
minacce e pratiche illecite dei cybercriminali di RBN (russian business network) e per cercare mettere in evidenza la gigantesca organizzazione che c'è dietro.
Supponiamo quindi di inserire su alcuni search engine (yahoo, live , clusty) la parola "maipiugromozon".
Come potete vedere nell'immagine qui sotto sono mostrate alcune pagine civetta costruite ad arte per infettare molto probabilmente su hosting gratuito. Ho scelto clusty per praticita', ma sono presenti anche su yahoo e live(msn)




Proviamo a visitare una di queste e veniamo subito reindirizzati, dopo un passaggio su lineacount.info che si trova sull'arcinoto range spazzatura ucraino 85.255.112.0 - 85.255.127.255 UkrTeleGroup,

su italianpornovideos.com [da non visitare assolutamente]

ospitato su un altro notissimo range spazzatura ad honk kong 58.65.232.0 - 58.65.239.255 HOSTFRESH sempre di RBN

lineacount.info individua la nazionalita' dell'ip del malcapitato e manda su una pagina che sostanzialmente obbliga a scaricare un falso codec video (virus Zlob)


Una cosa interessante è che nel sito pensato per i navigatori del bel paese , a differenza delle versione "internazionale", sono presenti 2 iframe malevoli.
Si tratta, quindi, di attacchi e malware specifici per il traffico italiano, che è stato sempre molto appetibile per RBN, probabilmente per via dei dialer.




Nel caso di visitatori che non provengono dal nostro paese lineacount.info dirotta, come gia' accennato, o su una pagina con falsi codec video senza iframe oppure verso un sito che mostra una scansione del pc del tutto fasulla al fine di farci scaricare un programma antivirus truffa.



Diamo un'occhiata ai domini (che in genere vengono cambiati spesso):

gli iframe puntano a:

1)adultxx-18.com  72.21.53.218  Layered Technologies inc.
societa' americana che viene spesso utilizzata da RBN per ospitare malware e siti relativi ad altre attivita'
illecite.

[nota] spesso i criminali di RBN usano server di Layered Technologies Inc, Theplanet e Everyones Internet , tutti hoster negli USA

2) my-istat.cc  203.186.128.153 ma anche qui non so dirvi se si tratta di un server RBN o semplicemente utilizzato da
RBN

Ovviamente questi 2 server sono pieni zeppi di exploit.

Il falso codec video invece si trova su
vm-codec2008.com 217.170.77.150 e questo dovrebbe appartenere ad un range malevolo: TimeWeb (217.170.77.0 - 217.170.77.255) in Russia

Tutti i domini sono registrati tramite la famigerata ESTDOMAINS, INC

A questo punto proviamo a fare un'analisi di Zlob. Inutile dire che non viene praticamente mai intercettato dagli antivirus perchè il file viene cambiato con una frequenza continua.
Ma non si tratta solo di una ricodifica dello stesso file.
Vengono modificati anche i server da cui il zlob fa scaricare ulteriori malware.

Qui sotto ho messo una serie di link relativi all'analisi con la sandbox di sunbelt di varie versioni di Zlob.
La cosa interessante è vedere la grande quantita' di server coinvolti.

ANALISI con la sandbox di varie versioni di Zlob:

https://cwsandbox.org/?page=samdet&id=138657&password=znbuu
https://cwsandbox.org/?page=samdet&id=126436&password=igxwa
https://cwsandbox.org/?page=samdet&id=127033&password=sazer
https://cwsandbox.org/?page=samdet&id=124030&password=xocfv
https://cwsandbox.org/?page=samdet&id=116795&password=cxxuh
https://cwsandbox.org/?page=samdet&id=98056&password=rbvjw
https://cwsandbox.org/?page=samdet&id=97319&password=gcjod
https://cwsandbox.org/?page=samdet&id=96783&password=qdxkz

Nell'ultima versione



Una curiosita' riguarda il fatto che in una versione il virus apre una connessione verso il vero server di microsoft - windowsupdate, probabilmente, ma si tratta di una supposizione, per indurre il malcapitato a scaricare attraverso uno stratagemma un falso aggiornamento.


Beyond The Network America 63.216.0.0 - 63.223.255.255 Usa

è molto interessante perche' in questo range sono presenti server spia di emule e per
falsi tracker per bit-torrent.
E' fortemente consigliato bloccare sia i range di Beyond The Network America
sia i seguenti:

Cernel 64.28.176.0 - 64.28.191.255 USA
InterCage, Inc. 69.50.160.0 - 69.50.191.255 USA
WEBALTA 77.91.228.180 - 77.91.228.189 Russia
Buildhouse Ltd. 195.93.218.0 - 195.93.219.255 Russia

Ma questa è solo una minima parte dei server che possono essere associati al fenomeno criminale RBN.
Molti altri li potete trovare nella blacklist di questo sito.

Prediamo ora un server a cui si collega una versione del malware ed in particolare 216.240.138.207

Qui sono presenti siti di falsi programmi ed anche un sito di affiliazione per diffondere quel tipo di spazzatura (ovviamente le scritte sono in cirillico)

easyspywarecleaner.com
infestop.com
winifixer.com
spy-rid.com
Advancedxpdefender.com
I-kerberos.com
ecc.



sempre su quel server possiamo trovare un falso sito porno stile youtube

youpornztube.com



E investigando un po' si puo' arrivare a delle pagine ormai offline che facevano promozione di alcuni siti riconducibili sempre alla cybercriminalita' organizzata russa
come klikrevenue , coolwebsearch , umaxlogin legati a spyware, vendita di falsi medicinali , truffe finanziarie ecc.




Per concludere RBN sostanzialmente usa 2 differenti strategie di attacco per infettare il vostro pc:

1) La prima si basa su astute tecniche di ingegneria sociale per ingannavi e farvi installare software:

principalmente Falsi codec video
o programmi truffa, in particolar modo Falsi (rogue) antivirus.

2) la seconda riguarda hack di siti legittimi, magari ad alto traffico con l'inserimento di iframe e/o javascript offuscati che attraverso exploit installano malware automaticamente

Oppure la attraverso la creazione di siti civetta, sempre con iframe e/o javascript offuscati, ben posizionati sui motori attraverso tecniche di SEO- (esempio: siti con migliaia di keyword tra le piu' utilizzate sul web)


Aggiornamento: ho corretto alcuni refusi ed errori grossolani :-)
Purtroppo non ho molto tempo da dedicare al blog e la qualita' ne risente

Cambia il server dell'infame MBR rootkit

I domini dove è ospitato l'MBR rootkit (Backdoor.Win32.Sinowal.br)

eaoafir.com
hnoafir.com
ces2vif.com
fhv5vif.com
cyzmvif.com

Ora puntano a 71.6.218.207 California Regional Intranet, Inc. USA

Aggiornamento 30/4/08

Ora puntano a 66.240.209.93 California Regional Intranet, Inc. USA


Aggiornamento 07/5/08

ces2vif.com , eaoafir.com 74.50.117.49 Noc4hosts Inc USA
fhv5vif.com , hnoafir.com , cyzmvif.com 66.240.234.196 California Regional Intranet, Inc. USA

La societa' giapponese Tredmicro (Antivirus pc-cillin) segnala l'attacco che ricalca quello avvenuto verso l'Italia l'anno scorso piu' o meno nello stesso periodo (attacco con mpack) : lo definiscono un nuovo italian job

http://blog.trendmicro.com/one-year-later-italian-job-still-working-overtime/

Aggiornamento

Dopo una fitta corrispondenza con un analista di kasperskylab alcuni siti (ma non tutti) vengono bloccati dall'Av omonimo

Nell'immagine il sito ufficiale di monica bellucci.




PER I WEBMASTER:

- Rimuovere i seguenti script (di solito si trovano in fondo alla pagina ma non sempre)




PER GLI UTENTI:

- Fare una scansione con i tool per controllare se sieti infetti con il MBR rootkit/trojan Sinowal

PREVXCSI http://info.prevx.com/download.asp?grab=prevxcsi
ROOTKIT BUSTER http://www.trendmicro.com/download/rbuster.asp
GMER (solo per utenti esperti) http://gmer.net/gmer.zip


Aggiornamento 5/5/08

Sono ancora molti i siti infetti ospitati da aruba s.p.a. ma le cose sono migliorate.
Alcuni tra i piu' importanti come ad esempio quello di sabrina salerno sono stati bonificati.

Una cosa interessante riguarda www.comonight.com
perche' lo script malevolo non si trova nell'index
ma in un file chiamato bordo_flash.js




Aggiornamento 7/5/08

Riprende la notizia dell'attacco anche la stampa di Torino citando come fonte TrendMicro (l'articolo NON è aggiornato):

http://www.lastampa.it/_web/cmstp/tmplrubriche/blog/grubrica.asp?ID_blog=100&ID_articolo=217&ID_sezione=&sezione=


Aggiornamento 14/5/08

un lettore del blog mi segnala il seguente dominio:

cyzmvif.com che punta al solito ip:66.240.234.196

Come ti frego l'account su MSN

Mi è arrivato nella casella di posta su hotmail il solito invito a scoprire chi mi ha bloccato o cancellato dalla lista di MSN/LIVE messenger

Il sito che dovrebbe offrire questo "servizio" è

www.blockccheckert.com Ip:78.108.88.43 Russia
www.blockcontandchecke.org stesso ip

Si tratta del solito trucco per rubare account di live/msn/hotmail a catena

NON comunicate mai a nessuno il vostro indirizzo msn e la password associata
e non inserite questi dati in nessuna form

Questo post ovviamente non è rivolto a specialisti della sicurezza :-)

Ancora siti italiani compromessi dalla gang del MBR Rootkit

Veloce post per segnalare che ci sono siti web italiani compromessi con javascript offuscato che fanno installare un malware pericolosissimo ovvero l' MBR rootkit.

Sul sito di edgar c'è una lista di alcuni che hanno subito l'hack, tra i quali è presente anche il sito
della cantante Sabrina Salerno.

NON VISITATELI E SE LO FATE, SOLO CON FIREFOX E JAVA E JAVASCRIPT DISABILITATI

http://edetools.blogspot.com/2008/04/utilizzo-di-webscanner-nella-ricerca-di.html

il server da bloccare e' sempre lo stesso segnalato qualche giorno fa 71.6.151.188

Aggiornamento 29/4/08: ora è 71.6.151.207
Aggiornamento 30/4/08: ora è 66.240.209.93
Aggiornamento 07/5/08

ces2vif.com , eaoafir.com 74.50.117.49 Noc4hosts Inc USA
fhv5vif.com , hnoafir.com 66.240.234.196 California Regional Intranet, Inc. USA



Anche la percentuale di rilevazione su virus total è molto bassa.



Tra i vari exploit presenti sul server ci dovrebbe essere anche uno per acrobat reader. E' quindi necessario anche aggiornare il programma all'ultima versione disponibile.



I siti compromessi sono ospitati sui server di aruba s.p.a.

alcuni siti legittimi infettati:

www.sabrinasalerno.com [bonificato]
www.deegees.it [bonificato]
www.graphixmania.it [bonificato]
www.skuolasprint.it [bonificato]
www.custommania.com [bonificato]
www.giovaniudccasteltermini.com [bonificato]
www.fluidifikas.it [bonificato]
www.ristoreggio.it [bonificato]
www.jacopo81.it [bonificato]
www.sevenpress.com [bonificato]
www.fasterage.net [bonificato]
www.mrprofit.it [bonificato]
www.fondiesicav.info
www.cristianolucarelli.com [bonificato]
www.beverlyclub.net [bonificato]
www.romanotizie.it [bonificato]
www.bitgame.it [bonificato]
www.lafra.it [bonificato]
www.olderic.com [bonificato] ma usa un servizio di statistiche con dialer
www.decimacodserver.com [bonificato]
www.biancoscudati.net [bonificato]
www.elisabettagregoraci.net [bonificato]
www.monicabellucci.it [bonificato]
www.pearl-jam.it [bonificato]
www.poohforfans.com [bonificato]
www.illuweb.it [bonificato]
bloccostudentesco.org [bonificato]
www.certenotti.net [bonificato]
www.curvanordmilano.net [bonificato]
www.ifod.it [bonificato]
ecc.

Rootkit:

Un nuovo pericoloso range immondizia

Prendo lo spunto da un interessante post di edgar riguardante l'hack di alcuni domini .it

http://edetools.blogspot.com/2008/04/aggiornamenti-vari-16-aprile.html

per fare una veloce analisi di un nuovo infame range spazzatura.

Partiamo dal seguente sito traffurl.ru ospitato su 78.129.166.30 sul quale sono presenti exploit.
Sullo stesso server sono ospitati anche i seguenti domini

1. 1counter.info
   
2. Googleset.info
   
3. X-traff.info

notare qui sotto l'ip 58.65. 236.9 di Hostfresh HongKong il che vuol dire RBN (Russian Business Network)



il range da bloccare è 78.129.166.0 - 78.129.166.255 attribuito alla fantomatica FeelItaly LLC (Italy)



AS29131 RAPIDSWITCH Ltd - London UK - IP range involved - 78.129.128.0/17

feelitaly.net risulta registrato da un russo


Anche su castlecops c'è un post che conferma che sul range vengono ospitati malware

http://www.castlecops.com/Trojan_Downloader_malware8502.html

Un "distretto di polizia" con dialer: siti mediaset con statistiche infette

I siti ufficiali delle fiction mediaset usano abbastanza incredibilmente il servizio di statistiche "gratuito"
www.webmeter.ws che notoriamente fa scaricare dialer. 6 minuti per la modica cifra di 15 euro :-)

Eccone alcuni:

hxxp://www.distrettodipolizia.tv/
hxxp://www.lamiaterra.mediaset.it/
hxxp://www.risdelittiimperfetti.tv/
htxp://www.stagioni.mediaset.it/main.htm
hxxp://www.grandidomani.mediaset.it/main.htm
hxxp://www.padriefigli.mediaset.it/
hxxp://www.cuorecontrocuore.mediaset.it/main.htm
hxxp://www.ilbellodelledonne.it/
hxxp://www.fiction.mediaset.it/fiction/lafigliadielisa/default.htm
hxxp://www.mastrangelo.mediaset.it/

non so se ce ne sono altri



Nel caso si risponda no, appare questo messaggio:







Inutile fare commenti perche' questa volta dovrei essere veramente duro.
Un conto è avere il sito compromesso con un iframe da cybercriminali abilissimi e superpreparati
e un altro è piazzarci volontariamente del codice senza sapere se è sicuro o meno.

NO COMMENT

Aggiornamento: il contatore malevolo dovrebbe essere stato rimosso dai vari siti mediaset

Cybercriminali sempre un passo avanti agli Antivirus

Rapido post per segnalare ancora una volta quanto possano fare poco gli attuali antivirus contro i malware delle organizzazioni criminali che operano sul web.

Esempio:

hxxp://209.205.196.16/[edit]/chris0233/lu/dm_0233.exe

Questo dialer viene cambiato con molto frequentemente.
Forse ogni volta che viene intercettato da kaspersky AV.

Credo di aver inviato almeno tra i 10 e 15 sample dello stesso virus nell'arco di un mese alla famosa societa' russa.

Denominazione : Trojan.Win32.Radi.XX

Puntualmente il giorno dopo e spesso dopo appena qualche ora dall'aggiornamento della basi virali, Kaspersky mancava l'individuazione della minaccia.
Questo post trova motivazione proprio nel fatto che mi sono un po' scocciato di questa situazione.


I prodotti che basano la loro efficacia essenzialmente sulle firme virali non hanno nessuna possibilita' di svolgere in modo sufficiente il loro compito, ovvero quello di proteggere il pc degli utenti.

Le considerazioni fatte valgono anche per altri software presenti su virustotal non solo per kaspersky. Ne parlo soltanto perche' nonostante gli analisti siano piuttosto veloci nell'aggiornare il DB, i cybercriminali sono altrettanto rapidi nel ricodificare il malware ed eludere così questo tipo di protezioni.


Gli AV che riescono a bloccare questo virus stabilmente tramite l'euristica sono quelli che vedete
qui sotto:




Qui invece trovate l'analisi effettuata attraverso la sandbox di sunbelt:

http://www.cwsandbox.org/?page=details&id=209405&password=nhghe

Ci sono tutte le informazioni del caso (il virus crea il file winupdate.exe nella cartella C:\WINDOWS\ e aggiunge una chiave nel registro per essere eseguito)


Certo, quello che ho scritto non è una novita' ma ribadirlo ogni tanto non fa mai male.

La gang del MBR Rootkit ci riprova: compromesso con iframe ladestra.info

Come gia' annunciato da Symantec il sito ladestra.info è stato compromesso con un iframe malevolo
che attraverso exploit fa scaricare ed installare automaticamente l'ultima versione del terribile
MBR Rootkit.

ATTENZIONE: In questo momento l'iframe è ancora presente per cui evitate di visitare questo sito e se proprio dovete, fatelo con FireFox con java e javascript disabilitati



L'ip da bloccare è 71.6.151.188 (cds5fir.com)

Per ulteriori informazioni vi rimando alla lettura dell'articolo sul blog di Symantec:

http://www.symantec.com/enterprise/security_response/weblog/2008/04/election_time_in_italy_complet.html


AGGIORNAMENTO

Nel caso abbiate visitato ladestra.info vi consiglio fortemente di fare una scansione con il tool antimalware prevx csi

http://info.prevx.com/downloadcsi.asp

e con l'antirootkit gmer

http://gmer.net/gmer.zip

AGGIORNAMENTO 2

Iframe malevolo rimosso dal sito la destra.info . cds5fir.com continua invece ad ospitare il malware e gli exploit.

Come al solito c'è un falso messaggio: " This domain for sale.
Try another domain. "

Compromesso emule-italia.it: Symantec stoppa l'attacco con il terribile Mebroot

Secondo Symantec il giorno 2 aprile sarebbero stati compromessi vari siti con alto traffico, tra cui
emule-italia.it. La tecnica è sempre la stessa , ovvero inserire nel codice un javascript offuscato
che tenta di far scaricare attraverso exploit un malware. In questo caso si tratta dell'ultima versione del temibile Mebroot (un rootkit per il MBR).

Per maggiori informazioni vi rimando alla lettura del blog di symantec:

http://www.symantec.com/enterprise/security_response/weblog/2008/04/mebroot_spreading_through_high.html

Qui invece informazioni sul pericoloso malware:

http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html

Risarcimenti 899 e dialer: la class action di altroconsumo

Tempo di risarcimenti per coloro che hanno ricevuto bollette astronomiche per via degli 899 e dei dialer. Altroconsumo tra raccogliendo segnalazioni per poter avviare una class action contro telecomitalia.



Per chi fosse interessato ecco il link diretto all'inziativa della famosa associazione che tutela i consumatori:

http://www.altroconsumo.it/map/src/198663.htm

Blog sulla sicurezza

Onestamente non so quanto tempo potro' dedicare a "maipiugromozon" in questo periodo e proprio per questo motivo mi sembra oppurtuno segnalare alcuni interessanti blog sulla sicurezza che non sono nella lista dei link .

Questo elenco è preso sul forum dell'eccellente sito www.malwaredomainlist.com dove molto immeritatamente è citato anche il mio blog :-)

http://www.malwaredomainlist.com/forums/index.php?topic=1545.0%3btopicseen

Tra questi vorrei segnalare quello di Dancho Danchev che si è occupato in maniera molto approfondita del fenomeno criminale che ha creato maggiori problemi nel mondo in questi ultimi anni, ovvero il RBN Russian Business Network, fenomeno che ha interessato in maniera davvero preoccupante anche il web italiano.

Altrettanto interessante è il blog di Swatkat.

Una segnalazione speciale per quello dell'amico italiano edgar la cui iniziativa è nata dopo gli attacchi ai server del nostro paese, con mpack da parte dei soliti simpaticoni russi.

Colgo anche l'occasione per fare un grosso in bocca al lupo all'antipatico TNT :-) per il lancio di un nuovo antivirus ancora in Beta (del quale ignoro l'efficacia)

http://sunbeltblog.blogspot.com/2008/03/review-on-vipre-beta-by-cnet.html

Attenzione al sito www.antoniodipietro.org: javascript malevolo

Aggiornamento flash del blog per segnalare un javascript offuscato che nasconde un iframe malevolo sul sito www.antoniodipietro.org. E' tempo di elezioni e il sito è ben indicizzato da google. Comunque non si tratta del sito ufficiale dell'ex PM di mani pulite.



Codice malevolo:



decodifica dello script qui:



il dominio kizadarai.info è ospitato sul server malese con Ip 124.217.247.212 di PIRADIUS-NET che è utilizzato da RBN (Russian Business Network)

Poiche' qui ho trovato molta immondizia potete bloccare tutto il range
124.217.224.0 - 124.217.255.255

Interessante notare che se digitate l'indirizzo nel browser vi apparira' il solito falso messaggio "Account has been suspended"


AGGIORNAMENTO: Javascript infetto rimosso dal sito antoniodipietro.org

Il dominio kizadarai.info continua ad ospitare un malware definito dagli analisti di Avira Virus Lab in questo modo:

The file 'load.exe' has been determined to be 'MALWARE'. Our analysts named the threat BDS/Agent.wxa. The term "BDS/" denotes a Backdoor-Server program. Backdoor-Server programs are used to spy out, modify or delete data.

Attenzione a Payperstats: ancora statistiche con malware

Rapidissimo post per segnalare una nuova minaccia da parte dei soliti noti italiani. Sono anni che scassano con i dialer. Adesso si sono messi addirittura a lavorare con gli ucraini di Inhoster che sono notoriamente tra i peggiori criminali informatici del mondo.
Evidentemente stanno cercando nuove forme di "business"
Payperstats fa scaricare malware, per cui chi vuole usufruire dei loro servizi di statistiche per le quali si riceve un compenso x numero di visitatori, sappia che si sta rendendo complice di un reato.
Lo script inserito nella pagina cerca di far credere ai malcapitati che il loro pc è infetto come viene spiegato in questo post:

http://www.marcolancini.com/?p=620#comment-370

qui altri webmaster caduti nella trappola di inserire il contatore nel loro sito:

http://pollycoke.net/2008/03/09/avviso-ai-naviganti-virus-stagionale/

http://www.marcostella.net/2008/03/09/addio-payperstats-decisione-obbligata/

questo è il messaggio ingannevole con il quale cercano di ingannarci per farci scaricare il malware
MacroAntivirus.exe



Esempio dello script delle statistiche di payperstats in azione:




Icona file malevolo:


La prima cosa da fare è bloccare questo ip 64.237.33.148 dove sono presenti i malware.
Una volta eseguiti cercano di far scaricare altra immondizia da 85.255.114.141 che appartiene
all'arcinoto range di inhoster aka UkrTeleGroup Ltd. in blacklist da una vita come uno dei peggiori depositi di spazzatura esistente sul web

Purtroppo solo pochissimi Antivirus attualmente sono in grado di rilevare la minaccia:



Analisi tecnica del virus e ulteriori notizie appena avro' un po' di tempo

Per il momento potete dare un'occhiata ai risultati della sandbox di sunbelt

http://cwsandbox.org/?page=samdet&id=65321&password=fwnrp


AGGIORNAMENTO:

Leggetevi questo post. Evito di fare commenti perche' credo si capisca gia' cosa ne penso:

http://www.alverde.net/forum/discussioni-sulle-societa-che-non-hanno-pagato/89997-bannato-da-advmania.html


AGGIORNAMENTO 2

Anche se non è lo scopo di questo blog, che si occupa sostanzialmente di malware, aggiungo un paio di link che trovo abbastanza divertenti che riguardano gli sfoghi di gente coinvolta in questa vicenda. Evidentemente Advmania/Payperstats ha fatto molte vittime tra i webmaster e ne ha fatti arrabbiare parecchi.

http://www.coders4fun.com/2008/03/10/payperstats/it/

http://www.coders4fun.com/2008/03/14/truffa-payperstats/it/

Le superpotenze del malware: Russia al primo posto

Secondo un interessantissimo articolo su cnet news , la Russia sarebbe balzata al primo posto nella produzione di malware.
la Fonte di tale notizia è PC Tools, una nota azienda che opera nel settore della sicurezza (SpywareDoctor , ThreatFire ecc.)

http://www.news.com/8301-13860_3-9875663-56.html?tag=nefd.top



http://www.threatexpert.com/map.aspx

La notizia non fa che confermare la tendenza che si era manifestata negli ultimi 2 anni e che io stesso avevo potuto osservare.


Interessante notare che la somma dei malware di russia, ucraina e cina sia il 60% di tutta la produzione mondiale.

Un'ultima nota di attenzione la merita la parte sull'infame RBN (russian business network) . Pctools sostiene che l'attiva' dei criminali russi si sarebbe spostata su server in Malesia, Cina, Panama, Singapore, Thailandia, Turchia e India.

La pacchia finisce il 30/6/08 "L'Authority: dal 30 giugno telefonate «a rischio» solo su esplicita richiesta"

Una data storica che finalmente segnera' , si spera , la fine di un'epoca fatta di inganni e truffe ai danni degli utenti della telefonia fissa e di internet.

Il garante stabilisce il blocco dei numeri di telefono a tariffazione speciale (satellitari e 199, 899, 892, 178) per chi non li richiede per iscritto. Servirà un "pin" .

Per saperne di piu':

http://www.corriere.it/economia/08_febbraio_19/blocco_numerazioni_a_rischio_0e332974-df0e-11dc-9d37-0003ba99c667.shtml

Era ora.

AGGIORNAMENTO (dal messaggero di Roma)

http://www.ilmessaggero.it/articolo.php?id=19144&sez=HOME_NOSTRISOLDI

Tre tappe per arrivare al blocco. Dalla prossima estate, per effettuare una telefonata a numeri satellitari per servizi interattivi a sovrapprezzo, sarà necessario un "pin" appositamente richiesto. Senza il codice, le chiamate saranno automaticamente bloccate. Questa, in sostanza, la strada presa dall'Autorità «per contrastare radicalmente i fenomeni fraudolenti». Tre i passaggi per arrivare al blocco per tutti gli utenti:

dal 31 marzo il blocco dovrà essere reso disponibile sul mercato da tutti gli operatori, gratuitamente;

fino al 30 maggio gli utenti avranno il tempo di decidere se utilizzare le numerazioni a sovrapprezzo, richiedendolo espressamente all'operatore, oppure potranno immediatamente chiedere di essere bloccati;

dal 30 giugno, infine, per tutti coloro che non si saranno attivati, il blocco diventerà automatico, in base al meccanismo del silenzio-assenso.

Nuove tutele in arrivo. «La linea scelta dall'Autorità - si legge ancora nella nota - è quella della massima tutela dell'utenza, anche nelle sue fasce più deboli e meno attente. Con il blocco per default, infatti, solo coloro che effettivamente vorranno utilizzare le numerazioni a sovrapprezzo si vedranno fatturare i relativi addebiti». A questa nuova forma di tutela, tra l'altro, si aggiungerà, a breve, un'altra misura per il controllo della spesa: si tratta dei nuovi "tetti massimi" di costo per tutte le numerazioni, che entreranno in vigore con l'approvazione del nuovo piano di numerazione, ormai in dirittura d'arrivo».

E' finita la pacchia? "L'Antitrust blocca il distacco di linee Telecom"

Per la serie Good News vi invito a leggere questo interessante articolo sul corriere della sera.

http://www.corriere.it/cronache/08_febbraio_16/telecom_distacchi_telefonici_f495cffa-dc9f-11dc-8a42-0003ba99c667.shtml


notare le aziende coinvolte nelle ispezioni:

ISTRUTTORIA - L'istruttoria è stata aperta nei confronti di Elsacom, che è una società controllata da Finmeccanica, a sua volta di proprietà statale, e di altre sette società per accertare eventuali «pratiche commerciali scorrette nei confronti di centinaia di consumatori»: sono «coinvolte Globastar Europe, Csinfo, Eutelia, Karupa, 10993 srl, Teleunit e Voiceplus». Ci sono già state ispezioni in tutta Italia in collaborazione con la Guardia di Finanza.

Particolarmente attivi nell'utilizzo di dialer sono stati eutelia spa tramite la controllata inglese
Teleasp ltd
e teleunit spa attraverso la societa' di Perugia proadvertising Srl

A questo punto direi :

NON PAGATE SE AVETE AVUTO DEL TRAFFICO ANOMALO !

Il peggio del peggio

Un post sull'eccellente blog di sunbelt
http://sunbeltblog.blogspot.com/2008/02/dangerous-new-fake-american-greetings.html
ed in particolare analisi dell'ip associato al dominio
che ospita il malware [88.255.90.227] mi hanno dato lo spunto per scrivere queste poche righe

Senza scendere in dettagli vi consiglio vivamente di bloccare con il firewall
questo autentico range immondizia.
Si tratta di server utilizzati dai criminali di RBN (russian business network)
e gia' presenti da tempo nella mia blacklist

inetnum:        88.255.90.0 - 88.255.90.255
netname:        AbdAllah_Internet
descr:          AbdAllah Internet Hizmetleri
descr:          Etnografya Muze mevkii Kirazlik Mh. No:32 Rize
country:        tr
admin-c:        MAG87-RIPE
tech-c:         MAG87-RIPE
status:         assigned pa
mnt-by:         as9121-mnt
source:         RIPE # Filtered
route:          88.255.0.0/16
descr:          TurkTelekom
origin:         AS9121
mnt-by:         AS9121-MNT
source:         RIPE # Filtered

Nell'articolo seguente potete trovare alcune informazioni in merito:

http://www.joewein.net/fraud/host-abdallah-internet.htm

Ancora su italiancollection.in

Ancora un approfondimento sul virus (con dialer) di cui ci eravamo occupati qualche settimana fa.
Ho fatto una velocissima decodifica dello script offuscato che fa scaricare il malware.



qui sotto potete vedere un'immagine nell'infame script malevolo in azione



la cosa interessante è che dando uno sguardo al server che ospita il malware ho trovato il solito
motore di ricerca fasullo con un logo che è una specie di marchio di fabbrica per una certa gang russa. Chi si occupa di sicurezza sa di chi sto parlando.



qui sotto l'n-esima conferma che mostra la nazionalita' di chi c'è dietro

USA e UE all'attacco della rete criminale russa RBN

Segnalo un interessantissimo articolo su RBN (russian business network) e su come le autorita' statunitensi ed ora anche l'Unione Europea si stiano occupando (finalmente) del problema:

http://www.hwupgrade.it/forum/showthread.php?t=1672766

Il secondo riguarda l'infame network stormworm, una botnet di pc zombie (si tratta sempre di cybercriminalita' russa)

http://www.internetnews.com/ent-news/article.php/3724966

Speriamo che le cose migliorino presto anche se onestamente ho qualche dubbio

Applet infette con certificato

Faccio un post rapidissimo che meriterebbe di certo maggiore approfondimento.
Una delle tendenze piu' assurde che si sta verificando in rete è la certificazione dei malware.
L'immagine qui sotto credo sia sufficientemente chiara:
Si tratta si un'applet java infetta




Nello stesso dominio dell'applet [retaguilas.com] avevo trovato anche banner in flash malevoli

Un virus "polimorfico" (con dialer) per navigatori italiani

Qualche giorno fa a proposito della chiusura dell'infame sito Callsolutions ho ricevuto una interessantissima segnalazione da Gmg (un utente molto preparato di hwupgrade)
a proposito di un sito spara virus estremente pericoloso.
Da quello che ho potuto osservare dovrebbe trattarsi di un virus polimorfico che tenta di installare un dialer.

Il nome del dominio gia' ci fa capire a chi sia destinato il malware.

hxxp://italiancollection.in/[edit...]/info/exe.php?id=xx

Variando i numeri dopo ?id= cambia la codifica del file.

Non sono riuscito a fare analisi con la sanbox di sunbelt e quindi non so se possa essere attribuito alla famiglia dialcall (callsolutions)

La scansione su virustotal da i seguenti risultati:



Quello che ho potuto notare è la difficolta' di kaspersky 7 nel riconoscere tale virus polimorfico.
Non so se il modulo PDM sia in grado di intercettare la minaccia.

Alcuni sample che ho inviato sono stati successivamente individuati dall'antivirus russo come Trojan.Win32.Dialer.XYZ
ma l'efficacia del prodotto è scarsa.

AGGIORNAMENTO:

A quanto sembra il virus anche se estremamente difficile da rilevare in tutte le sue mutazioni
non sarebbe tecnicamente "polimorfico" (analisi di TNT)
Resta comunque una "brutta bestia"
Mi scuso per l'errore.....

AGGIORNAMENTO 2

Analisi di marco di pcalsicuro.com:

"Una definizione carina e corretta sarebbe 'manual polymorphism', cioè una sorta di polimorfismo manuale, indotto grazie ad un packer che permette una rapida ricompressione - tutto server side.

Il dialer utilizza un driver 'CommDrv.sys'. I numeri utilizzati sono:

899161323 (Operatore: Voiceplus)
00881939100516 (Operatore: GMSS)
1784402345 (Operatore: Eutelia)

Che la mano sia russa o comunque est asiatica non penso vi siano grossissimi dubbi:



Così come non fanno neanche lavorare troppo sull'identificazione del tipo di malware, visto che lo lasciano scritto direttamente loro nel codice:

Codice:

D:\Business\ADWARE\Dialer\CommDriver\

Il resto del codice, a parte il packer e qualche altra caratteristica, non è di grandissimo interesse."

Goodbye Callsolutions....

Chiude callsolutions, il sito di affiliazione russo responsabile dell'infame rootkit dial.call che aveva preso di mira esclusivamente l'Italia
Non ci mancherai......