venerdì 31 agosto 2007

Analisi di una falsa pagina Google


Quella che vedete nell'immagine e' una falsa pagina Google presente in rete.
Le differenze con l'originale sono veramente minime, solo la posizione di alcuni link(images, video, news ecc...) che nell'originale sono in alto a sinistra mentre nella falsa pagina sono al centro e la presenza dell'invito ad aggiornare il browser sacricando un addons.

Vediamo il link presenti, che naturalmente non portano al sito di Google ma caricano altri siti o files eseguibili.

I link o ricaricano la pagina, o rimandano ad altri siti oppure nel caso del link download addons scaricano il malware zun.exe.
Tentado di eseguire una ricerca si riceve un messaggio di Google che dice che la ricerca non e' possibile.

Esaminando in dettaglio il codice della pagina troviamo tre javascript offuscati, in maniera semplice, che vengono decodificati facilmente anche dalla mia utility scritta in autoit Escape sequence decoder


Gl parte criptata degli scripts contiene il codice di un exploit che sfrutta una vecchia vulnerabilita Microsoft MS06-014 MDAC vulnerability


I tre javascript differiscono solo per il nome del malware che viene passato all'exploit e che risulta home.exe, zin.exe zun.exe.

Trendmicro identifica i files “home.exe” and “zun.exe” come WORM_SOHANAT.CO mentre il file “zin.exe” viene identificato come WORM_VB.EIQ.

Un fatto curioso e' che in realta' se visioniamo con la Web Developper Toolbar di Firefox i codici javascript inline che vengono caricati ci accorgiamo che esiste anche un collegamento ad un link del sito YAHOO 360.

In effetti facendo una outline con la Web Developper Toolbar di Firefox vediamo che

e' presente un codice di iframe nascosto che contiene un link ad una sottopagina dello stesso dominio della falsa pagina Google.
Questa sottopagina denominata /blog/ al momento sembra contenere solo due link come da immagine


che puntano ad un accout Yahoo 360
Provando ad aprire uno di questi link parrebbe essere riferito ad un utente .VN (Vietnam)


Che abbia a che fare con chi ha creato la falsa pagina Google ??? oppure .......

Edgar




giovedì 30 agosto 2007

WEBSCANNER v.3.5 final

La versione finale 3.5 di WEBSCANNER e' scaricabile da qui.
La versione beta terminera' di funzionare il 31 agosto.

Edgar

mercoledì 29 agosto 2007

Blogspot, tennis e malware ..........

Riprendendo una news riportata da Sunbeltblog pare che ora anche su BLOGSPOT ci si diverta col tentativo di attaccare con malware i pc dei visitatori delle pagine blogs.

Un esempio iteressante e' il blog TENNIS HOBBY


che tra i suio post ne pubblica 2 da leggere con molta attenzione se non si vuole avere spiacevoli conseguenze sul computer che si sta usando.

In particolare


possiamo vedere nella parte bassa della home page 2 articoli che invitano a visionare 2 video che sarebbero presenti su Youtube
In realta' i due link corrispondono a due indirizzi ip che non sono certo del famoso sito di video online
Esaminiamo il primo.
Cliccando sul link si apre una pagina che ne vuole simulare una di Youtube (per la verita' a parte il logo si capisce gia' che c'e' qualcosa di strano, la pagina e' priva di particolari presenti su pagine similari di youtube, qui abbiamo solo una scritta e un logo.)

La cosa poi ancora piu divertente (si fa per dire) e' che si suggerisce al visitatore di fare un download e poi dare un run ..... del file scaricato... (dovrebbe essere un filmato !!!!)

La realta' e' che invece del fantomatico filmato divertente, promesso dal post, se clicchiamo sul link ci scarichiamo sul pc un file eseguibile dal nome video.exe chiaramente contenente malware.
In questo caso gli antivirus che riconoscono il file sono circa il 90% di quelli testati su Virus Total.

Il malware e' riconosciuto come The Zhelatin worm, un worm diffuso prevalentemente vie e-mail ma anche attraverso un falso video di youtube.

Il problema e' che al momento pare che non solo questo blog su blogger ma anche altri abbiano falsi link a pagine con malware che cercano di ingannare chi usa internet con il falso filmato Youtube.

Se provate con google a dare la seguente stringa di ricerca "this i not good. if this video" blogger troverete un discreto numero di blogs (una sessantina) che contengono questa stringa di testo associata al falso video Youtube.

Resta da capire se questi post con il falso video sono stati aggiunti dentro a normali blogs da qualcuno esterno al blog stesso oppure si tratta di blogs appositamente creati per cercare di colpire il maggior numero di pc.

SunbeltBlog avanza l ipotesi "Possibly through the Blogger mail-to feature (where you can email in a blog post)?" cioe' la possibilita' della diffusione sui blog attraverso l opzione che permette di postare una mail direttamente sul sito del proprio blog "Blogger mail-to feature" dato che il malware in questione e' stato diffuso ultimamente come un allegato di posta elettronica.

Edgar

martedì 28 agosto 2007

Variazioni sul tema.... (aggiornato 29/8)

Un po di tempo fa Maverick, sul suo blog analizzava, in questo interessante articolo le insidie dovute al typosquatting, cioe' l'utilizzo di nomi di siti rassomiglianti all'originale ma con piccole differenze di testo che possono capitare sbagliando a digitare il nome del sito oppure che possono essere messe ad arte in un link per ingannare chi legge l'url.
Un lungo elenco di nomi di siti italiani di typosquatting e' prelevabile dal sito di sunbelt
A distanza di tempo, andando a visitare la pagina che viene scaricata digitando una url sbagliata, sembra che l'unica differenza, rispetto a qualche mese fa', sia il diverso layout della pagina e i diversi trojan che vengono scaricati.
Intanto c'e' da dire che facendo una scansione con Webscanner dell'elenco di subnet tutte le url risultano attive. e reindirizzano il visitatore sul sito //www.ragazze-spiate.com/
La pagina appare leggermente diversa come impostazione rispetto a quella visualizzata nellarticolo di Maverick dove erano presenti diversi bottoni di scelta e un falso motore di ricerca.
Ora c'e solo in una foto che riempie la pagina con alcuni link compreso la foto stessa.

Cliccando sia sull immagine che sul link pubblicita' viene scaricato il trojan Clicker.Agent.NBI rilevato in questo caso dal NOD32


Cliccando invece sul link in basso a destra 'SALTA SPOT E VAI DIRETTAMENTE AL SITO' si viene portati in una pagina che vuole rappresentare graficamente un sito Microsoft di aggiornamenti per internet explorer 7


e se ora si clicca su uno dei bottoni o sul logo o sui link il risultato e' lo scaricamento sul pc
di un file dal nome Internetexplorer.exe da un sito anche lui ingannevole e cioe' microsoft-files come si vede dal codice sorgente della pagina.

Il trojan e' lo stesso di quello che viene scaricato dalla prima pagina e che NOD32 rileva come Clicker.Agent.NBI.

Aggiornamenti del 29 08 2007

Una analisi un po piu' approfondita dei due files che sono scaricati dal sito sottoponendoli alla scansione multipla eseguita online dal sito Virus Total:
Questi sono i risultati ottenuti:

Il primo file scaricabile dalla home page di ragazze-spiate e' ServiziParticolari.exe.
Su 31 antivirus testati il 74% riconosce il file come contenente codice pericoloso identificato nella maggior parte dei casi come Trojan Clicker win32; tra gli antivirus che non lo riconoscono troviamo tra gli altri F-prot e McAfee.


Il secondo file scaricabile dal falso sito di aggiornamenti per explorer 7 e' InternetExplorer.exe che anche qui e' rilevato dagli antivirus nella maggior parte dei casi come Trojan Clicker w32.
Anche in questo caso abbiamo circa il 70% degli antivirus che lo riconoscono ma anche qui F-prot e McAfee non riconoscono il pericolo. In piu' in questo secondo caso anche Prevx V.2.0 parrebbe non riconoscere il malware


Edgar

Seologs,com, servizio sospeso ?

Questa mattina tentando di collegarsi al servizio di reverse DNS di Seologs.com esce una schermata con la seguente scritta:
'Not Found
Sorry, but you are looking for something that isn't here.'

Che il servizio free di reverse dns sia terminato ? oppure una momentanea fermata del servizio per manutenzione ? Vedremo nelle prossime ore...

Aggiornamento 30/8

La pagina con il servizio di reverse DNS e' ritornata disponibile.

Edgar

domenica 26 agosto 2007

AVAST! Forum hacked.

Come rilevato da Sbronzo di Riace in un suo post su questo blog ormai e' confermato che il forum di AVAST antivirus http://forum.avast.com/ e' stato vittima di una iframe injection che linkava al sito (http://mediacount. net /strong/ 020sdsfg/) con un exploit windows "Windows Animated Cursor Stack Overflow Vulnerability" responsabile di installazione di malware.
I browser firefox e opera sembrano esenti da questa vulnerabilita'.
Molti i commenti sulla notizia:

' AVAST! the popular anti-virus (free version for home users) had their forums hacked for roughly 24 hours yesterday. A iframe, injected into the forum , links to a site (http://mediacount. net /strong/ 020sdsfg/) which exploits the Windows Animated Cursor Stack Overflow Vulnerability .to install malware. The forum site is currently down.'

ed anche:

Alwil's credibility just hit the ground floor like an elevator with the wires cut...
che tradotto '... la credibilita' di Alwill's ( la casa produttrice del software) ha colpito il piano terra come un ascensore con i cavi tagliati ....'

In effetti pare quantomeno strano che un produttore di antivirus, tra cui anche programmi reclamizzati come Corporate Protection, abbia il sito compromesso da un iframe quando proprio il suo software dovrebbe mettere al riparo da questi problemi.

Attualmente il forum e' ritornato online.

Edgar

sabato 25 agosto 2007

The return of the disingenuous double v

Il blog SubnetBlog di Subnet Software riporta la notizia della registrazione da parte dello stesso gruppo responsabile del malware trojan Trojan.Vxgame di un dominio di nome vvindowsupdate(dot)com.
Il chiaro tentativo di ingannare chi riceve un link a questi domini e' dimostrato dall'uso della lettera v due volte al posto della w.
Di questi siti registrati ce ne sono al momento parecchi.
Fergie's Tech Blog ne riporta un elenco con domini sia dalla w iniziale del nome modificata in vv ed anche con tutte e due le w che compongono il nome windows modificate in vv

Siti con la prima w del nome di dominio modificate in vv

VVINDOWS.COM NS NS1.MYDOMAIN.COM
VVINDOWS.COM NS NS2.MYDOMAIN.COM
VVINDOWS.COM NS NS3.MYDOMAIN.COM
VVINDOWSVISTA.COM NS DNS1.MALKM.COM
VVINDOWSVISTA.COM NS DNS2.MALKM.COM
VVINDOWSMEDIA.COM NS PARK25.SECURESERVER.NET
VVINDOWSMEDIA.COM NS PARK26.SECURESERVER.NET
VVINDOWSUPDATE.COM NS NS1.VVINDOWSUPDATE.COM
VVINDOWSUPDATE.COM NS NS2.VVINDOWSUPDATE.COM
NS1.VVINDOWSUPDATE.COM A 208.64.26.146
NS2.VVINDOWSUPDATE.COM A 208.64.26.146
VVINDOWS.INFO NS PARK36.SECURESERVER.NET
VVINDOWS.INFO NS PARK35.SECURESERVER.NET
VVINDOWS.NET NS NS.WEBZERO.CO.KR
VVINDOWS.NET NS NS2.WEBZERO.CO.KR


siti con entambe le w modificate in vv

VVINDOVVS.COM NS NS1.DN.NET
VVINDOVVS.COM NS NS.PRO-FUTURA.COM
VVINDOVVS.INFO NS PARK36.SECURESERVER.NET
VVINDOVVS.INFO NS PARK35.SECURESERVER.NET
VVINDOVVS.NET NS NS1.DN.NET
VVINDOVVS.NET NS NS.PRO-FUTURA.COM
MS-VVINDOWS.COM NS NS1.OFFICELIVE.COM
MS-VVINDOWS.COM NS NS2.OFFICELIVE.COM


Lo scopo di questi falsi domini e' chiaramente quello di ingannare chi riceve il link facendogli credere di visitare un sito sicuro e non uno con malware od altri pericolosi codici all'interno.

Edgar

venerdì 24 agosto 2007

La versione stand-alone del programma di decodifica escape sequence.

Ecco la versione Autoit del programma di decodifica di una sequenza di escape di javascript offuscati.
Basta copiare nella finestra di input la sola sequenza di escape senza apici iniziali e finali per decodificarla.
Nello zip e' allegata una sequenza di escape di test tratta dallo script offuscato presente in molti siti web italiani attaccati a maggio.
NB. Questa versione del programma decodifica solo semplici script che sono criptati aggiungendo o togliendo un valore numerico al codice unicode del singolo carattere.


Lo zip e' scaricabile da qui.

Edgar

giovedì 23 agosto 2007

La decodifica automatica di semplici javascript offuscati e criptati.

Di solito l'attacco a siti per reindirizazare il visitatore a url contenenti malware viene portato con l'aggiunta di uno script java alla pagina attaccata.
Lo script il piu' delle volte e' offuscato, ossia contiene codici di escape che al momento della lettura della pagina vengono trasformati in javascript in chiaro.
Inoltre molte volte il codice viene criptato tramite chiave per impedire la decodifica.
Traendo spunto da un articolo pubblicato su
http://scriptasylum.com/tutorials/encdec/encode-decode.html

ho creato questa semplice pagina web che permette di decodificare istantaneamente alcuni codici java offuscati a questo link:
PAGINA DI DECODIFCA JAVASCRIPT OFFUSCATI

Un esempio:
Consideriamo il codice offuscato tuttora presente nella pagine web recentemente attaccate su domini di providers italiani


sono presenti due porzioni di codice java costituito da sequenze di escape....
La prima con sequenza escape (in giallo) non criptata...che in realta' contiene la funzione di decodifica df(s) della seconda parte di codice (in arancio) che invece contiene la sequenza di escape criptata. con l'indirizzo IP al sito malware.

Passando queste 2 stringhe di escape ( passare solo il codice compreso tra apici senza le parentesi e gli apici es. '%3C%73%......; la parte di codice in giallo nella finestra decodifica senza key, per la parte in arancio nella finestra decodifica con KEY ) abbiamo:

e nella corrispondente finestra di testo in chiaro ora possiamo leggere le due parti di codice.
La seconda parte decriptata mostra la chiamata ad un IP /81.95.148.42 registrato a nome di RBNET descr: RBusiness NetworkPanama City address: Republic of Panama, sito con sicuramente malware o reindirizzamenti ad altri siti con malware.

Aggiornamento

Ho portato in Autoit da javascript il codice del programma di decodifica dello script offuscato.
Si puo notare dal codice dello script di decodifica che la chiave numerica usata non e' altro che l'ultimo carattere numerico della sequenza di escape.
Nel nostro caso abbiamo l'ultimo carattere della stringa criptata = 3 ed e' proprio il numero 3 il valore chiave.


La decodifica viene ottenuta sottraendo il numero 3 a tutta alla sequenza dei codici numerici unicode dalla stringa opportunamente convertita.
Si ottine cosi' la stringa in chiaro che puo essere eseguita all'interno della pagina.
Probabilmente esistono altri script che invece che sottrarre la chiave numerica la sommano, oppure compiono altri passaggi matematici piu' complessi, ma in sostatnza questo algoritmo risulta molto semplice, molto piu' di quanto pensavo, prima di dargli una occhiata un po piu' approfondita.

Edgar

mercoledì 22 agosto 2007

Blogspot.com per circa un'ora OFF

Dalle 21 alle 22 ora locale (dalle 16 alle 17 in Italia) i blogs di blogspot.com sono stati irragiungibili; al posto della pagina web veniva visualizzata una pagina Google di errore del server.
Al momento (le 22.10) sembra che tutto sia tornato alla normalita'.
Links alla notizia:

http://themoderatevoice.com/media/blogging/14694/alert-google-blogspot-server-issues/

http://status.blogger.com/

Edgar

martedì 21 agosto 2007

Parked domains that not only serve advertisements, but also malware!

Sembra che il tentativo di infettare computer attraverso pagine web modificate stia trovando una nuova via attraverso i Parked Domains.
I Parked Domains sono quei domini che, pur essendo registrati, non hanno un sito web collegato ma sono "parcheggiati" in attesa che qualcuno voglia utilizzarli.
Spesso chi ha registrato il nome di dominio, contatta una compagnia di 'parking' che utilizza il nome di questo dominio per visulizzare pubblicita' e che paga, in proporzione alle visite sul sito, la persona titolare della registrazione del nome di dominio.
Recentemente ScanSafe ha trovato che non solo queste pagine 'parcheggiate' visualizzano pubblicita' ma ce ne sono alcune che tentano di scaricare sul pc di chi le sta visualizzando un file malware.
Il dominio a cui la pagina web attinge il malware sembrerebbe smalltool.net e il file scaricato (setup.exe) e' analizzato dal Kaspersky come ROJ_SMALL.ITG.
Una volta installatosi sul computer colpito, attraverso la visualizzazione di un falso messaggio di EULA, il malware sembrerebbe collegarsi a smalltool.net trasformando il computer infetto in uno spam zombie.

Maggiori info:
sul sito di ScanSafe
sul blog di TrendLabsMalware

Edgar

lunedì 20 agosto 2007

Rogue Domain Name System Servers

Dal TrendLabs Malware Blog si apprende che e' stata individuata una rete di piu' di 115 DNS server modificati che possono essere utilizzati da trojan che cambiano l indirizzo del server DNS sul computer colpito. (es TROJ_DNSCHANG.BM )

Sempre in questo interessante articolo si legge che, da prove fatte, se il pc ha l'indirizzo DNS server cambiato, digitando una errata url, sul tipo wwe.google.com invece di visulaizzare l usuale messaggio di errore “page not found”, viene visualizzato un sito contenente un motore di ricerca di contenuti per adulti che da' come risultati altri siti contenti malware.


(Immagine trastta dal sito blog http://blog.trendmicro.com/rogue-domain-name-system-servers-5breposted5d/)


Sembra inoltre che questi server DNS fasulli reindirizzino anche le chiamate a siti malware conosciuti , in questo caso se nel computer colpito esisteva un malware che cercava di scaricare aggiornamenti di codice da un sito noto, questo malware adesso scarichera' differenti codici da un altro differente sito in quanto l indirizzo IP orginale a cui si appoggiava viene modificato dal falso server DNS.

Questi sono alcuni degli indirizzi di server DNS modificati

Questo sitema di dns fasulli potrebbe essere anche utilizzato in associazione alla modifica delle impostazioni di un router come ho descritto in questo precedente post.

Come si vede siamo in presenza di un diverso tipo di Typo-squatting, rispetto a quanto scritto nel precedente post, ma che in pratica ottiene il medesimo risultato con in piu' l'aggiunta di una modifica del comportamento di eventuali altri malware presenti sul pc che si sta usando.

Edgar

HostsMan e Italian typo-squatting domains serving malware.

Sul sito di PIANETAPC esiste una interessante recensione del programma di gestione del file host HostMan.
Questo programma utilizza liste di nomi di siti pericolosi che aggiorna scaricandole in automatico ma un' altra possibilita' consiste nell'aggiungere manualmente una lista di siti da bloccare.
Capita anche che, per cercare di indirizzare chi naviga in rete su siti conteneti malware o falsi motori di ricerca, vengano creati volutamente dei siti con l url simile all'url di siti esistenti in rete (es. al sito www.corriere.it corrisponde un sito pericoloso dall'url www.corrierre.it )
Questo sitema di falsi siti viene anche chiamato typo-squatting e di questi con url simili all'originale ne esistono moltissimi.
Una lista in formato PDF e' presente su: http://www.sunbelt-software.com/ihs/alex/Italytyposquat.pdf.
Partendo da questa lista ho creato un file .TXT compatibile con il programma HostMan.
Usando la funzione importa lista di HostMan e ricordandosi di spuntare l opzione che aggiunge alla lista presente la nuova serie di url si avra' cosi' anche il blocco di url typo-squatting pericolose che per sbaglio possono essere digitate.

Il file txt di url typo-squatting compatibile con HostMan lo trovate qui

Altri siti con liste di files host di siti pericolosi le trovate su Mvps e su hpguru's .

Su Mvps esiste anche un ineressante elenco di siti (in lingua inglese) dedicati alla sicurezza in rete

Aggiornamento
Sembra che il contatore di visite ShinyStat, che viene di solito incluso in molti sti web a scopi statistici, compreso questo sito, sia considerato dal file host di Mvsp una url da bloccare, infatti dopo aver installato HostMan e caricato gli aggiornamenti il contatore di ShinyStat non e' piu' risultato visibile e disponibile dalla pagina web.
Una ricerca nel file /hosts.txt presente su Msvp trova le segunte righe di testo nel file HOST
# [Shiny S.r.l]
127.0.0.1 codice.shinystat.com
127.0.0.1 codiceisp.shinystat.com
127.0.0.1 s1.shinystat.com
127.0.0.1 s2.shinystat.com
127.0.0.1 s3.shinystat.com
127.0.0.1 s4.shinystat.com
127.0.0.1 www.shinystat.com
127.0.0.1 codice.shinystat.it
127.0.0.1 codiceisp.shinystat.it
127.0.0.1 s1.shinystat.it
127.0.0.1 s2.shinystat.it #[SecuritySpace.WebBug]
127.0.0.1 s3.shinystat.it
127.0.0.1 s4.shinystat.it
127.0.0.1 www.shinystat.it
In pratica tutte le url a che hanno a che fare con ShinyStat sono inserite nel file host e bloccate !!!
A questo punto pero' sorge il dubbio... ShinYStat rappresenta un problema di sicurezza se e' stato aggiunto al file host ??? da www.mvps.org ............ oppure molto probabilmente il blocco di ShinyStat e' stato aggiunto per questioni di privacy in quanto visitando un sito con questo contatore attivo l IP del computer di chi visita viene comunque acquisito anche dal server di ShinYStat ???


Edgar

giovedì 16 agosto 2007

Ping Monitor

Lingaggio usato freeware ----> AUTOIT http://www.autoitscript.com/
Il programma PING MONITOR e' stato fatto per monitorare una rete tra PC e rete locale o internet se si ha il problema di frequenti timeout, inoltre se il server a cui si e' connessi si scollega dopo un intervallo di tempo di non utilizzo e' utile per mantenere attiva la connessione.
Esempio, nel mio caso, ho avuto per un po di tempo una connessione ad internet PNA, cioe' tramite rete telefonica interna ad uno stabile ed ero connesso ad internet tramite un server con home pna switch.
Spesso la rete andava in timeout, inoltre il server a cui ero connesso se passavano 8 ... 10 minuti di non utilizzo della rete mi scollegava.
E' nato quindi questo piccolo programma che serve appunto per automatizzare il controllo della rete e mantenere attiva la connessione.
Ping Monitor invia ad intervalli regolari un PING che tiene connesso il server e che inoltre fornisce lo stato della rete con un messaggio audio vocale se il computer diventa OFFLINE.
Il programma invia un PING all'indirizzo IP settato nel file ping.ini ad intervalli di xxxx millisecondi (set in variabile loop_delay in ping.ini)
Se il PING va' a buon fine genera un corto BEEP , in caso contrario un messaggio vocale di OFFLINE.
In caso di OFFLINE il programma riesegue un ping di verifica dopo soli xxxxx secondi (set in file ping.ini alla voce retry_if_error) e continua cosi' fino a che non viene ristabilita la connessione.
A connessione ristabilita viene reimpostato l'intervallo di PING di default.
Il programma non dispone di menu' ma tutta la configurazione va fatta da file .ini.
Da test fatti l 'utilizzo di risorse del pc da parte dell'utility e' molto basso (al di sotto dell'1% e solo nel momento di output audio e ping).
Allo start il programma parte minimizzato e appare una icona vicino all'orologio di sistema, se si clicca sull'icona si manda in pausa il programma ed appare un menu con due possibilita': riavviare il ping o uscire dal programma stesso. Per terminare il programma si puo' in alternativa massimizzare la finestra presente nella barra di windows e chiudere il programma .
Nel file PING.ini si settano IP address, il timeout del ping (per evitare di ricevere errori se la rete ha connessioni lente), l'intervallo di tempo tra 2 ping successivi, l'intervallo in ms se c'e' errore di timeout: (tutti i tempi in millisecondi) e inoltre volume in % e nomi dei file audio da usare nel programma.
NB:
Come tempo di timeout se si esegue PING su un indirizzo di rete locale con 3 ... 10 millisecondi non ci sono problemi, se si esegue PING su server esterno bisogna aumentare il PING timeout delay a 300 ... 500 ms o piu' a seconda dell indirizzo...IP
Come indirizzo ip si puo' usare l ip del proprio router se si vuole monitorare la rete locale, oppure, per rete esterna, un ip del server DNS del proprio provider.... oppure un IP di sito internet basta che questo sito risponda al PING : es. GOOGLE = 66.102.7.99 risponde al ping... www.ansa.it non risponde a PING.
Oltre che PING su indirizzo numerico si puo' usare in alternativa PING su l'url es. www.google.com.

Edgar

domenica 12 agosto 2007

Aggiornamento webscanner v.3.5 beta6

E' ora possibile ricercare per piu sottostringhe scrivendole separate dal simbolo $ nella finestra di input testo.
Esempio: pippo$pluto ricerca sia la stringa pippo che la stringa pluto e se almeno una delle due e' presente restituisce ricerca positiva.

Edgar

venerdì 10 agosto 2007

Aggiornamento minore di webscanner v.3.5 e alcune considerazioni sui servizi web di reverse IP.

Webscanner ora puo leggere anche un file txt. generato copiando la pagina dei risultati di reverse IP restituita da /www.domainsdb.net/.


Traggo spunto da questo aggiornamento per fare una analisi dei risultati forniti da alcuni servizi web gratuiti di reverse IP.
L'IP analizzato e' uno dei soliti che risultano ancora con siti contenenti java script offuscato e precisamente 194.242.61.121 ( Hosting Solutions ).

I risultati sono i seguenti:

www.seologs.com sito di reverse IP gratuito restituisce 350 url di siti presenti sull'IP.


www.myipneighbors.com/ restituisce 350 url di siti ( e' da notare che sulla pagina di seologs c'e' un link a myneighbors.com ed e' quindi probabile che utilizzino lo stesso motore di ricerca.
Inoltre una particolarita' di questo sito di reverse ip e' di mostrare a video l'anteprima della pagina web trovata e questo, a mio avviso, potrebbe essere un problema di sicurezza in quanto l'apertura del sito comporta anche l'esecuzione dell'eventuale script inserito nello stesso)



www.whoistag.com restituisce solo 81 domains sharing IP (non vengono inclusi nella ricerca i siti su dominio .it e vengono invece restituite url di siti con differente IP)




Stessa cosa succede per www.domainsdb.net che restituisce ben 500 siti (la ricerca free e' limitata a 500 siti per ip) ma che non comprendono i domini .it e inoltre la lista si riferisce a piu' ip e non solo 194.242.61.121.


Per finire la ricerca fatta con webscanner, restituisce 358 siti; e' interessante notare come, ad esempio il sito guidacitta.com, che risulta contenere javascript pericoloso, venga trovato solo tramite il motore di ricerca a cui si appoggia webscanner, ma non dai siti di reverse IP.


(Sul'l'IP 194.242.61.121 sono presenti 27 siti con codice javascript offuscato e probabilmente non solo sulla home page ma anche su altre pagine all'interno degli stessi.)

Edgar

giovedì 9 agosto 2007

Javascript, Drive-By Pharming e sicurezza del router.

Da un po' di tempo ai gia' numerosi problemi di sicurezza per chi usa internet, se ne e' aggiunto un 'altro.
Il problema chiamato anche Drive-By Pharming ( www.symantec.com ) consiste nello scaricamento involontario visitando un sito web, di un java script creato appositamente per modificare le impostazioni del router che si sta utilizzando
Lo script, creato per specifico modello di router, esegue il login alla pagina di configurazione e va a modificare la tabella degli indirizzi DNS. (per chi non lo sapesse i DNS sono gli indirizzi dei server che convertono la url che noi scriviamo sul browser nel corrispondente indirizzo IP del sito da visitare)
Al seguente riavvio della macchina il router usera' di default dei DNS che puntano a un server controllato dall'aggressore per reindirizzare la navigazione su pagine contenenti malware ...ecc....
Purtroppo pero' il problema di una modifica delle impostazioni del router, (dns, password ecc...) puo' presentarsi anche se non si e' stati colpiti dallo script java.
Quando si attiva un router, specialmente in una rete domestica, chi lo installa segue una procedura che ormai e' stata resa abbastanza facile anche per persone non esperte di reti e sicurezza in rete. Succede cosi' che si presentano 2 gravi problemi:
Il primo consiste nel non modificare la password di accesso alla pagina web di configurazione del router lasciando quella di default, password di default che chiunque puo conoscere ad esempio cercando in rete il manuale di installazione per lo specifico modello usato.
Il secondo problema, forse ancora piu' grave, e' il mantenimento attivo dell accesso remoto alla pagina di configurazione del router attraverso la rete esterna (internet)
Come esempio qui potete vedere la scansione di un range IP riferito ad un noto provider internet italiano fatta con un programma freeware di scanner:

Molti dei router presenti consentono l accesso alla pagina di configurazione attraverso la porta 80 web con l uso di un qualsiasi browser.
Una volta entrato, se la pasword non e' stata cambiata, e succede molto spesso, l aggressore potra' a suo piacimento modificare tutte le impostazioni del router.
Si arriva a casi estremi, come questo che vedete qui sotto, dove non solo la password non e' cambiata, ma viene persino proposta, a chi si connette (l intento voluto da chi ha programmato il firmware del router, era quello di rendere disponibile il primo accesso di configurazione al router senza dover cercare sul manuale la password di default) ma se poi non si cambia !!!!!


La regola de seguire e' quindi quella di verificare sempre che la password di accesso di default sul router sia modificata; inoltre e' importante disabilitare l accesso di amministrazione remota del router attraverso un collegamento internet e lasciare attiva solo la possibilita' di accesso alla configurazione dalla la rete interna.

Edgar

mercoledì 8 agosto 2007

Modificato il template del blog.

Alcune mofiche apportate sul codice del template del blog.
Edgar

lunedì 6 agosto 2007

Correzione di un problema di lettura dei risultati restituiti dal motore di ricerca.

Si e' presentato un problema sulla lettura dei risultati restituiti dal motore di ricerca e utilizzati da webscanner per generare il reverse IP del range in uso.
In pratica il programma leggeva solo la prima pagina (50 url) ed anche se erano presenti piu pagine di risultati non le acquisiva.
Cause: e' cambiato il codice restituito dalle pagine dei risultati del motore di ricerca e le 2 parole chiave che webscanner utilizzava per individuare se c'erano ancora da leggere pagine risultano modificate.
La soluzione e' stata quella di aggiornare le due parole chiave e salvare le due nuove chiavi nel file .ini di webscanner.
Dopo questa necessaria modifica e' stato fatto un test di reverse IP sull indirizzo 194.242.61.121;
Il servizio web di reverse IP www.seologs.com/ip-domains.html ha trovato 357 siti su questo IP mentre il programma webscanner 353 e quindi il risultato e' positivo.

Modifiche ulteriori del 07/08
E' stato ulteriormente migliorato il sistema di acquisizione dei risultati di ricerca dalle pagine web. Adesso il numero delle url ottenuto coincide ,nella maggior parte dei casi, con quello di seologs.
Inoltre ora viene visualizzato il numero delle pagine risultati acquisite e il numero totale delle url resituite dal motore di ricerca.La modifica del numero di risultati per pagina e' ora possibile solo dal file .ini

Modifiche minori
La finestra di dialogo selezione folder ora propone di default l ultimo percorso utilizzato per salvare i reports.

Il download del programma e' stato aggiornato con le necessarie modifiche.

Edgar


Utilizzo di webscanner v.3.5 beta 2

Per testare l utilizzo delle nuove modifiche ho provveduto a completare la scansione del range IP compreso tra 194.242.61.211 - 254 ( Hosting Solutions ) ed ho trovato questi domini infetti con java script offuscato:

----------------------------------------------------------------
vvv.albergodelsenato.it
----------------------------------------------------------------
Num. 1 SITES at IP 194.242.61.211
===========================================
vvv.moruzzi.it
vvv.unitalsilombarda.it
vvv.gestionaleprisma.com
vvv.gicossrl.com
----------------------------------------------------------------
Num. 4 SITES at IP 194.242.61.212
==========================================

Un altro test e' stata la scansione del range 217.64.193.1 217.64.193.254 (SEEWEB Hosting Company ) che presenta questi siti che hanno al loro interno nella homepage uno script che reindirizza all IP 202.75.33.238 ( server che si trova in Malesia che al momento no mi pare attivo)

----------------------------------------------------------------
vvv.cadandrean.it
vvv.argonauti-multimedia.it
vvv.bermar.net
vvv.seld.it
----------------------------------------------------------------
Num. 4 SITES at IP 217.64.193.7
=============================================
vvv.eurofficepeb.it
vvv.arrigodegasperi.it
vvv.aliseosistemi.com
vvv.brokerass.it
----------------------------------------------------------------
Num. 4 SITES at IP 217.64.193.19
=============================================
vvv.dreamteamsport.it
vvv.2cs.it
vvv.dsmarsica.it
----------------------------------------------------------------
Num. 3 SITES at IP 217.64.193.39
=============================================
vvv.paolomarconiarchitetto.it
vvv.ciclicaldaro.it
vvv.sunuraghe.it
----------------------------------------------------------------
Num. 3 SITES at IP 217.64.193.55
=============================================
vvv.maglu.it
----------------------------------------------------------------
Num. 1 SITES at IP 217.64.193.71
=============================================
vvv.aless.it
vvv.barchessacontarini.it
----------------------------------------------------------------
Num. 2 SITES at IP 217.64.193.76
==============================================
vvv.barbados4u.com
vvv.franciacortaonline.it
vvv.viniquattrocchi.it
----------------------------------------------------------------
Num. 3 SITES at IP 217.64.193.91
=============================================

Edgar

domenica 5 agosto 2007

Aggiornamento Webscanner v 3.5 beta 2

E' disponibile la nuova versione di WEBSCANNER 3.5.
Oltre alla correzione di un bug sulla lettura del file ini questa versione presenta una importante novita'.

Adesso l ' esecuzione di WGET avviene totalmente in background e solo attivando la casella di spunta DEBUG Command ON viene proposta la finestra con l esecuzione di WGET.
Questo consente di poter far lavorare WEBSCANNER in background e se la velocita' della connessione lo permette, di utilizzare altri programmi nel medesimo tempo.
L' avanzamento della scansione viene evdenziato da opportuni messaggi (range ip in uso, url in scansione, numero siti esaminati e numero di siti che contengono la striga cercata, dati parziali e totali per scansione), da un segnale sonoro a fine scansione e da un segnale sonoro di allarme , attivabile da menu, che avverte quando viene trovato un sito con la stringa cercata.


Il file e' scaricabile dal link presente a lato nella pagina

Edgar

venerdì 3 agosto 2007

Pubblicata su PianetaPC.it la recensione di Web Scanner

E' stata pubblicata sul sito pianetaPC.it, nei download della sezione SICUREZZA, la recensione della mia utility Web Scanner http://www.pianetapc.it/downloads.php?id=269.
Il file .zip della versione 3.0 BETA e' scaricabile seguendo il link pubblicato qui a lato nella sezione download.
A breve rilascero' un aggiornamento del programma.



Edgar

mercoledì 1 agosto 2007

Un problema di sicurezza .... su www.pianetapc.it

Sono stato a vistare il sito di www.Pianetapc.it ,un ottimo sito che tratta anche di sicurezza informatica con numerosi articoli ben fatti.
Tra le altre cose in fondo alle pagine appare il banner di LINKSCANNER con l opzione dell inserimento sito per una scansione e verifica della url che si digita
Le istruzioni riportano:

'.... Controlla ogni pagina web alla ricerca di exploit prima di aprirla

(sarai portato automaticamente alla pagina se il sito web non contiene exploit).....'


E qui secondo me sorge un problema di sicurezza da non sottovalutare.

Purtroppo, come gia' mi aveva fatto notare Maverick nel suo blog di sicurezza ed anche altri, LINKSCANNER a volte non riconosce la minaccia; parecchi javascript offuscati infatti non vengono rilevati.
Succede con qualunque programma antivirus ad esempio che una nuova minaccia non venga subito riconosciuta e bisogna tener conto che le infezioni via web sono in tempo reale quindi numerosi virus o exploit o malware possono non essere riconosciuti dal software di scansione in quanto appena creati.

E ora il problema di sicurezza..!!!!
Provo a digitare il link del sito infetto www.bagatti.it di cui parlo nel precedente post, per vedere se linkscanner lo riconosce
Purtroppo non avevofatto caso alla dicitura nel banner di cui sopra .... sarai portato automaticamente !!!!
Non solo LINKSCANNER non ha trovato lo script ma mi sono ritrovato sulla pagina del sito che ha me risulta tuttora infetto con javascript offuscato e attivo, spero di aver fatto in tempo a chiudere il browser .... e comunque uso noscript SU FIREFOX per prevenire esecuzione automatica di script.
Posso confermarvi che aprendo il sito www.bagatti.it in sandboxie lo script e' attivo... e funziona...
Non sara' opportuno evitare di mandare in automatico il visitatore sul sito che si sta' testando ????????!!!!!!!!!!!!!!!!!
Se LINKSCANNER , come pare succeda anche spesso, non riconosce la minaccia cosa succedera' ?????
I malcapitati visitatori si troveranno a navigare con tranquillita' su siti pericolosi ???
Bisogna dare la possibilta' a chi usa il link di decidere cosa fare, aprire il sito o magari verificare con altro software.
Temo che si rischia invece che fare un a cosa utile , di fare del danno.
Penso che convenga al piu' presto togliere questo automatismo di reindirizzare sul sito che si sta testando.

AGGIORNAMENTO
Come mi comunica nel post, Alessandro Recchia ha provveduto ad eliminare l avvio automatico del sito testato attraverso il banner di LINKSCANNER.
Ora Verrà visualizzata una pagina di SocketShiled con il risultato della scansione senza che in automatico si venga reindirizzati sul sito se la pagina in questione risulta pulita da script o iframe pericolosi.

Edgar

Utilizzo di SITESCANNER

Alcune considerazioni.

Ho appena finito di ultimare la prima parte del codice di sitescanner.
Ho voluto testarne l'utilizzo provando a fare una scansione di uno dei siti contenenti script offuscati che appare nella lista generata da webscanner.
Il sito in questione e' www.bagatti.it all' IP 194.242.61.121
Il risultato ottenuto in pochi secondi e' questo


Come pensavo ci troviamo di fronte a piu' pagine del medesimo sito contenenti il codice javasript offuscato
Farei notare la data e l ora riportate dai files contaminati
Provate a confrontarli con la lista completa dei files contenuti nel sito


SOLO i files contaminati presentano la data del 19/05/2007 e anche il time coincide 17:32.
A mio parere, quindi il sito e' stato hackerato con gli script il giorno 19/05/07 alle 17:32.
Inoltre esaminando nel dettaglio il time in secondi la modifica dei files sarebe partita dal file certificazioni 10 KB 19/05/2007 17:32:49 e terminata con il file zone 9 KB 19/05/2007 17:32:57
Quindi non partendo dal file index ma genericamente parrebbe in ordine alfabetico.
Sara' cosi ???.

Edgar