sabato 25 agosto 2007

The return of the disingenuous double v

Il blog SubnetBlog di Subnet Software riporta la notizia della registrazione da parte dello stesso gruppo responsabile del malware trojan Trojan.Vxgame di un dominio di nome vvindowsupdate(dot)com.
Il chiaro tentativo di ingannare chi riceve un link a questi domini e' dimostrato dall'uso della lettera v due volte al posto della w.
Di questi siti registrati ce ne sono al momento parecchi.
Fergie's Tech Blog ne riporta un elenco con domini sia dalla w iniziale del nome modificata in vv ed anche con tutte e due le w che compongono il nome windows modificate in vv

Siti con la prima w del nome di dominio modificate in vv

VVINDOWS.COM NS NS1.MYDOMAIN.COM
VVINDOWS.COM NS NS2.MYDOMAIN.COM
VVINDOWS.COM NS NS3.MYDOMAIN.COM
VVINDOWSVISTA.COM NS DNS1.MALKM.COM
VVINDOWSVISTA.COM NS DNS2.MALKM.COM
VVINDOWSMEDIA.COM NS PARK25.SECURESERVER.NET
VVINDOWSMEDIA.COM NS PARK26.SECURESERVER.NET
VVINDOWSUPDATE.COM NS NS1.VVINDOWSUPDATE.COM
VVINDOWSUPDATE.COM NS NS2.VVINDOWSUPDATE.COM
NS1.VVINDOWSUPDATE.COM A 208.64.26.146
NS2.VVINDOWSUPDATE.COM A 208.64.26.146
VVINDOWS.INFO NS PARK36.SECURESERVER.NET
VVINDOWS.INFO NS PARK35.SECURESERVER.NET
VVINDOWS.NET NS NS.WEBZERO.CO.KR
VVINDOWS.NET NS NS2.WEBZERO.CO.KR


siti con entambe le w modificate in vv

VVINDOVVS.COM NS NS1.DN.NET
VVINDOVVS.COM NS NS.PRO-FUTURA.COM
VVINDOVVS.INFO NS PARK36.SECURESERVER.NET
VVINDOVVS.INFO NS PARK35.SECURESERVER.NET
VVINDOVVS.NET NS NS1.DN.NET
VVINDOVVS.NET NS NS.PRO-FUTURA.COM
MS-VVINDOWS.COM NS NS1.OFFICELIVE.COM
MS-VVINDOWS.COM NS NS2.OFFICELIVE.COM


Lo scopo di questi falsi domini e' chiaramente quello di ingannare chi riceve il link facendogli credere di visitare un sito sicuro e non uno con malware od altri pericolosi codici all'interno.

Edgar

3 commenti:

Sbronzo di Riace ha detto...

http://forum.avast.com/ exploitato da un iframe maligno.
Possibile?

Edgar Bangkok ha detto...

Strano, sembrerebbe offline.Non riesco a collegarlo ( alle 4.30 AM ora italiana) 9.30 AM qui in Bangkok.
Edgar

Edgar Bangkok ha detto...

Adesso e' ripartito e forse avevi ragione visto che ci sono uan serie di post che parlano del problema tra cui:"
Basically something hacked the forum Simple Machines PHP software injecting an iframe tag in to each page as it was loaded, that page tried to infect users with the storm worm. Those with Firefox or Opera weren't vulnerable but those with IE or a clone were vulnerable to attack, however the web shield blocked that attack."
Sembrerebbe che qualcuno sia riuscito ad aggiunger un iframe alle pagine del forum.. la cosa buona e che chi usa firefox o opera non era esposto al rischio mentre chi usava IE e cloni si.RAgione di piu' per usare firefox o opera.
Edgar