venerdì 28 marzo 2008

Blog sulla sicurezza

Onestamente non so quanto tempo potro' dedicare a "maipiugromozon" in questo periodo e proprio per questo motivo mi sembra oppurtuno segnalare alcuni interessanti blog sulla sicurezza che non sono nella lista dei link .

Questo elenco è preso sul forum dell'eccellente sito www.malwaredomainlist.com dove molto immeritatamente è citato anche il mio blog :-)

http://www.malwaredomainlist.com/forums/index.php?topic=1545.0%3btopicseen

Tra questi vorrei segnalare quello di Dancho Danchev che si è occupato in maniera molto approfondita del fenomeno criminale che ha creato maggiori problemi nel mondo in questi ultimi anni, ovvero il RBN Russian Business Network, fenomeno che ha interessato in maniera davvero preoccupante anche il web italiano.

Altrettanto interessante è il blog di Swatkat.

Una segnalazione speciale per quello dell'amico italiano edgar la cui iniziativa è nata dopo gli attacchi ai server del nostro paese, con mpack da parte dei soliti simpaticoni russi.

Colgo anche l'occasione per fare un grosso in bocca al lupo all'antipatico TNT :-) per il lancio di un nuovo antivirus ancora in Beta (del quale ignoro l'efficacia)

http://sunbeltblog.blogspot.com/2008/03/review-on-vipre-beta-by-cnet.html


Pubblicato da alle 5 commenti:

martedì 18 marzo 2008

Attenzione al sito www.antoniodipietro.org: javascript malevolo

Aggiornamento flash del blog per segnalare un javascript offuscato che nasconde un iframe malevolo sul sito www.antoniodipietro.org. E' tempo di elezioni e il sito è ben indicizzato da google. Comunque non si tratta del sito ufficiale dell'ex PM di mani pulite.



Codice malevolo:



decodifica dello script qui:



il dominio kizadarai.info è ospitato sul server malese con Ip 124.217.247.212 di PIRADIUS-NET che è utilizzato da RBN (Russian Business Network)

Poiche' qui ho trovato molta immondizia potete bloccare tutto il range
124.217.224.0 - 124.217.255.255

Interessante notare che se digitate l'indirizzo nel browser vi apparira' il solito falso messaggio "Account has been suspended"


AGGIORNAMENTO: Javascript infetto rimosso dal sito antoniodipietro.org

Il dominio kizadarai.info continua ad ospitare un malware definito dagli analisti di Avira Virus Lab in questo modo:

The file 'load.exe' has been determined to be 'MALWARE'. Our analysts named the threat BDS/Agent.wxa. The term "BDS/" denotes a Backdoor-Server program. Backdoor-Server programs are used to spy out, modify or delete data.
Pubblicato da alle 2 commenti:

martedì 11 marzo 2008

Attenzione a Payperstats: ancora statistiche con malware

Rapidissimo post per segnalare una nuova minaccia da parte dei soliti noti italiani. Sono anni che scassano con i dialer. Adesso si sono messi addirittura a lavorare con gli ucraini di Inhoster che sono notoriamente tra i peggiori criminali informatici del mondo.
Evidentemente stanno cercando nuove forme di "business"
Payperstats fa scaricare malware, per cui chi vuole usufruire dei loro servizi di statistiche per le quali si riceve un compenso x numero di visitatori, sappia che si sta rendendo complice di un reato.
Lo script inserito nella pagina cerca di far credere ai malcapitati che il loro pc è infetto come viene spiegato in questo post:

http://www.marcolancini.com/?p=620#comment-370

qui altri webmaster caduti nella trappola di inserire il contatore nel loro sito:

http://pollycoke.net/2008/03/09/avviso-ai-naviganti-virus-stagionale/

http://www.marcostella.net/2008/03/09/addio-payperstats-decisione-obbligata/

questo è il messaggio ingannevole con il quale cercano di ingannarci per farci scaricare il malware
MacroAntivirus.exe



Esempio dello script delle statistiche di payperstats in azione:




Icona file malevolo:


La prima cosa da fare è bloccare questo ip 64.237.33.148 dove sono presenti i malware.
Una volta eseguiti cercano di far scaricare altra immondizia da 85.255.114.141 che appartiene
all'arcinoto range di inhoster aka UkrTeleGroup Ltd. in blacklist da una vita come uno dei peggiori depositi di spazzatura esistente sul web

Purtroppo solo pochissimi Antivirus attualmente sono in grado di rilevare la minaccia:



Analisi tecnica del virus e ulteriori notizie appena avro' un po' di tempo

Per il momento potete dare un'occhiata ai risultati della sandbox di sunbelt

http://cwsandbox.org/?page=samdet&id=65321&password=fwnrp


AGGIORNAMENTO:

Leggetevi questo post. Evito di fare commenti perche' credo si capisca gia' cosa ne penso:

http://www.alverde.net/forum/discussioni-sulle-societa-che-non-hanno-pagato/89997-bannato-da-advmania.html


AGGIORNAMENTO 2

Anche se non è lo scopo di questo blog, che si occupa sostanzialmente di malware, aggiungo un paio di link che trovo abbastanza divertenti che riguardano gli sfoghi di gente coinvolta in questa vicenda. Evidentemente Advmania/Payperstats ha fatto molte vittime tra i webmaster e ne ha fatti arrabbiare parecchi.

http://www.coders4fun.com/2008/03/10/payperstats/it/

http://www.coders4fun.com/2008/03/14/truffa-payperstats/it/
Pubblicato da alle 1 commento:
Iscriviti a: Post (Atom)