Non sono passate neanche 24 ore dalla pubblicazione della falsa pagina di TOR che il sito e' nuovamente cambiato.
Ora siamo tornati al falso filmato youtube con l'immagine di un falso player che se cliccato scarica il file malware movie.exe.
Inoltre e' sempre presente il file javascript offuscato con exploit per Microsoft video player.
La situazione antivirus e' leggermente migliorata poiche' quasi il 66% del software antivirus rileva il file movie.exe come malware. Purtroppo alcuni antivirus (Panda, Avast, ClamAV, Microsoft .. non rilevano la minaccia)
Aggiornamento 08 settembre
Facendo un po di letture del sito snbane.com , nell'orario corrispondente alle 19 in Europa, il grafico degli IP restituiti dal sito, suddivisi per nazione , mostra una maggiore presenza di stati europei rispetto al grafico precendentemente calcolato quando erano le 6 del mattino in Europa.
Questo potrebbe essere dovuto ad un maggiore utilizzo di personal computers anche in ambiente domestico a quell'ora in Europa e quindi alla maggiore presenza in rete di pc infetti che verrebbero utilizzati per gestire la distribuzione di malware.
NB. il numero corrisponde a quanti indirizzi IP letti appartengono alla nazione indicata in tabella ma non necessariamente al numero totale di pc in uso in quanto, a volte, scansionando la pagina, rileviamo un IP uguale ad uno gia' letto in precedenza per quella nazione.
Es. se abbiamo il numero 11 per l'Italia vuole dire che durante la scansione di snbane.com in quel periodo di tempo per 11 volte la pagina aveva un indirizzo proveniente dall'Italia
In realta' l'indirizzo IP poteva essere sempre lo stesso per piu' letture a distanza di tempo; quindi i computers italiani infetti in rete attivi in quel momento per la diffusione della pagina snbane.com potevano essere in numero minore di 11.
Una soluzione a questo problema, dato che la lista ottenuta con lo script Autoit, contiene anche il corrispondente l'indirizzo IP , potrebbe essere quella di eliminare dall'elenco IP ripetuti evitando quindi di conteggiare piu' volte lo stesso IP per la medesima nazione.
Un'altra particolarita': se a distanza di tempo, anche un giorno, si prova ad aprire un IP di quelli in lista, spesso risulta ancora attivo riportandoci sul sito snbane.com. questo succede piu' spesso con IP sulla lista di origine USA , ho provato con IP Italiani e l'indirizzo IP non visualizzava il sito.
Comuque, per curiosita', ecco una parte del log restituito dallo script Autoit che esgue l'acquisizione dell'indirizzo del sito ad intevalli regolari:
-----------------------------------------------------------------------------------------
6$07$RIPENCC$87.10.45.131$Italy$TELECOM-ADSL-7$
TelecomItaliaS.p.A.TINEASYLITE$87.0.0.0$87.15.255.255$
Yes$BBBEASYIPSTAFF$ViaValCannuta,250,I-00100Roma,Italy$
ripe-staff@telecomitalia.itAbuse$$TEL+390636881$FAX
7$07$ARIN$98.195.43.214$USA-NewJersey$HOUSTON-3
$ComcastCableCommunications,Inc.$98.194.0.0$98.195.255.255$
Yes$ComcastCableCommunications,Inc.$1800BishopsGateBlvd,MtLaurel$
CNIPEO-Ip-registration@cable.comcast.comAbuse$abuse@comcast.net$TEL+1-856-317-7272$FAX
8$07$RIPENCC$86.2.122.33$UnitedKingdom$NTL
$NTLInfrastructure-Oxford$86.2.112.0$86.2.127.255$
Yes$NTLINetworkManagementCentre$NTLInternet,CrawleyCourt,Winchester,Hampshire.......
-----------------------------------------------------------------------------------------------
In sequenza abbiamo : numero progressivo scansione, time (solo ora), source whois, indirizzo IP , nazione , provider, range ip assegnati al provider e dati relativi al provider (indirizzo, tel fax ecc....) Il simbolo del dollaro viene aggiunto dallo script per separare i diversi campi e renderne facile l''import esempio in excel.
Come si vede ho fatto salvare su file, allo script Autoit, piu info di quante in realta' ne servano per una statistica di provenienza degli IP poiche in effetti serve solo conoscere la nazionalita' , l'IP e al limte l'ora della lettura dell'IP.
Nessun commento:
Posta un commento