venerdì 30 novembre 2007

Problema su blogger a postare immagini con zoom in nuova pagina

Images don't enlarge when clicking on them


This is image from http://4.bp.blogspot.com/ server IMMAGINE NON ZOOMABILE
Se si clicca sull immagine in fierefox ed explorer si apre la window di download

this is image from http://3.bp.blogspot.com/ server IMMAGINE ZOOMABILE
Apre una nuova pagina con lo zoom.

E' da qualche ora che il tentativo di postare immagini oltre al testo su blogger , crea correttamente la preview dell'immagine ma cliccandoci sopra Firefox chiede di scaricare il file jpg e non , come deve essere, di aprire una nuova finestra con lo zoom immagine.
Succede solo al sottoscritto od e' un problema generalizzato???
Ho postato una richiesta di info sul sito blogger poiche' ho visto che anche altri sembrano avere questo problema.... da qualche ora.

Mi pare, anche scambiando alcuni messaggi con un'altro blogger in USA, di aver individuato il problema.
Sembrerebbe che se le immagini sono hostate sul server blogger bp3 quando si clicca il link queste vengano considerate come files scaricabili mentre se sono presenti sul server bp2 vengano aperte su una nuova pagina browser. Almeno da me e cosi'.......
Non so se e' cosi' per tutti.


AGGIORNAMENTI
Il problema esiste ed e' confermato dalle risposte ad un mio post su Blogger Help Group

Si tratta di un parametro presente nel codice del link che viene aggiunto erroneamente quando si upload l'immagine sul post e che rende il file jpeg impossibile da visualizzare zoomato in una nuova finestra.

Pare che una soluzione provvisoria in attesa che il problema venga risolto sia quella di modificare a mano il codice html sostituendo l'indirizzo al link dell'immagine con quello del link della thumbnail e mettendo al posto di s1600-R/ ----> s1600-h/ (R abilita il download -h lo zoom)
in pratica
prima della patch: (link immagine)

href="http://4.bp.blogspot.com/_-6waw8mcpyI/R0-YynhkMxI/AAAAAAAADEI/
Dg0yuhBPYEA
/s1600-R/demenziale.jpg

dopo
cambiare il testo in verde
con quello dell'indirizzo della miniatura dell'immagine che e' sulla pagina ( thumbnail ) e il codice s1600-R/ in s1600-h/

href="http://4.bp.blogspot.com/_-6waw8mcpyI/R0-YynhkMxI/AAAAAAAADEI/
Wl19XzX7X6E
/s1600-h/demenziale.jpg"

e questo e' il risultato


Come si vede si tratta di una operazione abbastanza complessa che forse vale la pena di evitare attendendo soluzioni da parte di Blogger.
Nel frattempo una soluzione piu' rapida e' quella di utilizzare il servizio offerto da Pphotobucket che tra l'altro dispone di una buona gestione dei link delle immagini agli album e degli upload anche tramite applet java.


Aggiornamento 4 dicembre

Al momento il problema non e' stato ancora corretto

Un esempio di quello che succede lo trovate ora anche sul blog http://ddanchev.blogspot.com dove cliccando sull'immagine della mappa presente nel post viene attivato lo scaricamento della stessa anziche' lo zoom su nuova pagina.


Aggiornamento 4 dicembre ore 15.33 (thailand)

Sembra che finalmente il problema sia risolto.
L'imamgine qui sotto e' stata uploadata adesso e risulta cliccabile con zoom.




Edgar

Siti spazzatura su internet e ricerche collegate

-------------------------------------------------------------------------------------------------
Una breve nota tecnica al riguardo di questo post.
Come descrivo piu' in dettaglio nel seguente post ho incontrato seri problemi ad allegare immagini a questo post in quanto cliccando sopra le stesse non si aveva lo zoom ma veniva aperta la finestra di download del browser firefox.
La soluzione piu' rapida, in attesa di qualche chiarimento da parte di Blogger, e' stata quella di utilizzare il servizio offerto da Pphotobucket che tra l'altro dispone di una buona gestione dei link delle immagini agli album.
A vantaggio di questa scelta va la gestione migliore delle immagini allegate, del download e dei relativi link senza contare che lo spazio a disposizione per hostare le immagini aumenta rispetto a quello di Blogger.
Come svantaggio, ad esempio, si hanno piu' links esterni ad una pagina blogger e quindi potrebbero esserci problemi sia di caricamento dei files ed anche, nel caso di sospensione di un account photobucket, la relativa scomparsa delle immagini dai posts.
-----------------------------------------------------------------------------------------------

Siti spazzatura su internet e ricerche collegate.

Succede sempre piu' spesso che per cercare di comparire nei risultati di una ricerca internet vengano create pagine che contengono un elenco disordinato di parole o frasi che tra l'altro fanno sembrare quello che si visualizza un qualcosa tra il ridicolo e il demenziale.
In realta' la pagina, come vedremo, e' solo il tramite tra l'operazione di ricerca ed il sito, di solito con contenuti porno, che tentera' di infettare il nostro pc con malware.

La pagina contenente le centinaia di parole utili alla ricerca contiene di solito un codice che reindirizza istantaneamente sul sito scelto dai malintenzionati per tentare di introdurre sul nostro computer codici malevoli e quindi non viene praticamente visualizzata sul monitor, abbiamo in altre parole, un passaggio diretto ricerca -> home page sito malevolo.

Inoltre anche il contenuto dell'url della pagina viene scelto tra quelli di uso comune per aumentare le probabilita' che venga caricata anche senza ricorrere ad una ricerca internet.

Vediamo un tipico esempio, ricordando che in queste pagine che vedremo sono presenti codici malware o links a questi.

Il sito si chiama vvv.lericettedicucina.it e ricorda come url quelle di cui ho scritto in questo post.
A differenza pero' dell'altro sito questo ha un javascript attivo e se gli script sul browser sono disabilitati, possiamo vedere la pagina con le chiavi di ricerca e quindi la vera natura del sito che andremo a visitare.
Notate il testo che compone la pagina che pur senza senso e' utile per aumentare le possibilita' che una nostra ricerca ci porti su questo sito

Il sito contiene uno script parzialmente offuscato

che decodificato
ci reindirizza su questo sito

dove possiamo vedere che le ricerche proposte da Adult Friend Finder sono collegate all'IP di chi visita la pagina; in pratica vengono proposte diverse localita' a seconda dell'indirizzo IP rilevato.(basta usare un proxy server per accorgersi di questo fatto)



A parte questo, un volta cliccato sul link per entrare ne sito viene aperta la solita pagina di filmati porno che cliccati mostrano l'ormai consueto falso player video che ci invita a scaricare il file codec o meglio definito come setup necessario per visionare i contenuti video.

Virus Total evidenzia che setup.exe contiene:

File setup.exe received on 11.29.2007 15:01:50 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32007.11.29.02007.11.29-
AntiVir7.6.0.342007.11.29-
Authentium4.93.82007.11.29-
Avast4.7.1074.02007.11.28Win32:Zlob-AGZ
AVG7.5.0.5032007.11.29Downloader.Zlob.LI
BitDefender7.22007.11.29Trojan.Zlob.3.Gen
CAT-QuickHeal9.002007.11.28-
ClamAV0.91.22007.11.29Trojan.Dropper-2529
DrWeb4.44.0.091702007.11.29Trojan.Popuper
eSafe7.0.15.02007.11.29-
eTrust-Vet31.3.53352007.11.29-
Ewido4.02007.11.29-
FileAdvisor12007.11.29-
Fortinet3.14.0.02007.11.29-
F-Prot4.4.2.542007.11.28-
F-Secure6.70.13030.02007.11.29-
IkarusT3.1.1.122007.11.29-
Kaspersky7.0.0.1252007.11.29Trojan-Dow.Win32.Zlob.epa
McAfee51732007.11.28-
Microsoft1.30072007.11.29Trojan:Win32/Zlob.ZWC
NOD32v226932007.11.29-
Norman5.80.022007.11.28-
Panda9.0.0.42007.11.28-
Prevx1V22007.11.29Generic.Dropper.xCodec
Rising20.20.22.002007.11.29-
Sophos4.23.02007.11.29-
Sunbelt2.2.907.02007.11.27-
Symantec102007.11.29-
TheHacker6.2.9.1442007.11.28-
VBA323.12.2.52007.11.28-
VirusBuster4.3.26:92007.11.28-
Webwasher-Gateway6.6.22007.11.29-

Additional information
File size: 81509 bytes
MD5: b1d71ef743b8c2e4df8ff67fc8e2d7d2
SHA1: b4378ffa299b6a440e2322146fc159b3ac9aa1d1


Come succede ormai frequentemente il malware e' pochissimo riconosciuto dai software presenti nell'elenco di V.T.

Alcune considerazioni sul whois a questi siti.

La pagina iniziale, cioe' vvv.lericettedicucina.it presenta un IP corrispondente a server USA

mentre la pagina di ingresso al sito porno e' locata su server UPL TELECOM (Repubblica Ceca)

La pagina contenente il falso code/setup invece e' hostata su server Inhoster (Ucraina) e questo ancora una volta dimostra che, a parte le recenti vicissitudini di RBN, tutto il sistema di distribuzione malware e' ben attivo.

Tra l'altro l'accoppiata UPL TELECOM >>>>> INHOSTER e' presente in rete da da tempo per diffondere malware attraverso siti porno.

Sembra che lo sfruttare false pagine contenenti migliaia di riferimenti, nomi, parole, frasi per cercare di comparire ai primi posti nei risultati dei motori di ricerca internet sia la soluzione piu' adottata in questi ultimi tempi.

A proposito di link a siti malevoli vorrei ancora ricordare che a mio avviso, un altro problema arriva da quei siti in cui vengono posti, sfruttando esempio forum o guest books, centinaia di collegamenti a siti pericolosi.

Mi riferisco, in particolare al caso italiano delle centinaia di siti istituzionali creati e poi forse abbandonati in rete da chi dovrebbe gestirli, di cui ho parlato in questi posts:


Internet ed alcuni siti dell'Amministrazione Pubblica - prima parte

seconda parte

terza parte

quarta parte

e collegato a questo anche ad indirizzi url creati appositamente simili a quelli di siti istituzionali di cui parlo in questo post
false url di siti istituzionali

Edgar

giovedì 29 novembre 2007

2 brevi aggiornamenti BOTNET

Da un po di giorni i domini che linkano alla botnet fast-flux di storm worm non presentano nessuna pagina web, visitando uno dei soliti indirizzi appartenenti alla rete storm worm appare una pagina vuota.
Non e' pero' vero che sia proprio cosi', infatti se proviamo a scaricare il file sony.exe questo risulta presente sul sito storm worm.
Scaricando piu' volte il file si vede che l'hash MD5 risulta differente come e' gia successo per i files malware scaricati dalle pagine precedenti di storm worm.

Virus total rileva sony.exe come :

File sony.exe received on 11.29.2007 10:55:23 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32007.11.29.02007.11.29-
AntiVir7.6.0.342007.11.29Worm/Zhelatin.my
Authentium4.93.82007.11.28-
Avast4.7.1074.02007.11.28Win32:Zhelatin-ASX
AVG7.5.0.5032007.11.28Generic9.ZME
BitDefender7.22007.11.29Generic.Malw SFMHY@mmign.50DA829A
CAT-QuickHeal9.002007.11.28I-Worm.Zhelatin.my
ClamAV0.91.22007.11.29-
DrWeb4.44.0.091702007.11.29Trojan.Spambot.2529
eSafe7.0.15.02007.11.28-
eTrust-Vet31.3.53352007.11.29-
Ewido4.02007.11.28-
FileAdvisor12007.11.29-
Fortinet3.14.0.02007.11.29-
F-Prot4.4.2.542007.11.28-
F-Secure6.70.13030.02007.11.29Email-Worm.Win32.Zhelatin.my
IkarusT3.1.1.122007.11.29Backdoor.Win32.Agent.amd
Kaspersky7.0.0.1252007.11.29Email-Worm.Win32.Zhelatin.my
McAfee51732007.11.28W32/Nuwar@MM
Microsoft1.30072007.11.29Backdoor:Win32/Nuwar.A
NOD32v226922007.11.28a variant of Win32/Fuclip
Norman5.80.022007.11.28-
Panda9.0.0.42007.11.28Suspicious file
Prevx1V22007.11.29-
Rising20.20.22.002007.11.29Trojan.Win32.Mnless.zpn
Sophos4.23.02007.11.29-
Sunbelt2.2.907.02007.11.27-
Symantec102007.11.29Trojan.Peacomm.D
TheHacker6.2.9.1442007.11.28-
VBA323.12.2.52007.11.28-
VirusBuster4.3.26:92007.11.28-
Webwasher-Gateway6.6.22007.11.29Worm.Zhelatin.my

Additional information
File size: 129537 bytes
MD5: 4ea369a283f07ee4bf37a30b837f487f
SHA1: 7b25a6fadedc442900b32b36a3533cdd7490e9de

Vedremo se prossimamente, magari in occasione delle festivita' natalizie comparira' qualche nuova pagina sui siti storm.

La seconda notizia riguarda invece una botnet di cui non si e' ancora parlato molto ma che secondo un recente articolo pubblicato da ITNEWS varia tra 1 milione a 2 milioni di PC infetti.
Si tratta della botnet che sarebbe gestita dal gruppo identificato come ‘Celebrity Spam Gang’ e che secondo ricerche effettuate da Bradley Anstis sembrerebbe responsabile del 20% di tutto lo spam in circolazione.
Lo spam in questione riguarderebbe mails che hanno come oggetto celebrita' come Angelina Jolie o Britney Spears ma anche la distribuzione di giochi free per Windows o Windows Security Updates.
Pur presentando metodi meno sofisticati di Storm Worm pare che questa botnet si sia diffusa in maniera notevole tanto da avvicinarsi alle potenzialita' della piu' famosa botnet Storm.

Edgar

Google utilizzato per linkare a malware

Come ho gia' scritto in un precedente post "Le ricerche con Google che ci linkano a malware." sembra che ultimamente uno dei sistemi adottati per cercare di reindirizzare la navigazione internet su siti con contenuti malevoli sia quella di creare volutamente pagine con url che contengono riferimenti a parole di uso comune oppure a nomi di siti noti (es.governativi).
Di solito le frasi o parole usate sono in inglese ma recentemente si sono aggiunti anche siti con contenuto in lingua italiana.
Un tipico esempio di pagine contenenti migliaia di parole, in lingua italiana, che vengono linkate da un motore di ricerca lo vedete in questo precedente post "Migliaia di false pagine Blogger' .
In questi giorni sembra sia comparso in rete un enorme numero di false pagine create apposta per linkare ai primi posti dei risultati di una ricerca eseguita con Google falsi siti con malware.
Inoltre sunbelt presenta un documento in formato pdf che raccoglie un parte di frasi o parole che se utilizzate in una ricerca restituiscono pagine con contenuti malevoli.

Una nota interessante viene poi sempre da sunbelt in un post dove si descrive una nuova tecnica utilizzata da chi vuole nascondere le pagine con malware ad una ricerca eseguita utilizzando gli operatori avanzati di Google INURL e SITE.


Attraverso questo Javascript viene evitata la visualizzazione di un sito utilizzando gli operatori di Goggle che, spesso, sono utilizzati da chi ricerca in rete siti contenenti codice pericoloso.


Edgar

mercoledì 28 novembre 2007

Ancora un Bonus Fedelta' di Poste Italiane

Ho ricevuto una nuova mail di phishing hai danni di Poste Italiane.
Questa volta la mail si distingue dalle precedenti, per il modo con cui e stata creata e cioe' l'utilizzo di una immagine al posto del testo relativo al messaggio.

Come si vede il testo (immagine) e' sempre quello della vincita di un bonus di 99 euro che ci verra' accreditato solo dopo che ci saremo connessi al sito Poste It e l'uso dell'immagine ha anche lo scopo di evitare eventuali filtri antispam.
L'immagine nella mail e' inserita all'interno di codice html che permette di avere anche la definizione di un area sensibile al mouse, simulando cosi' un link (testo in blu).(vedi codice)


Il file jpg del messaggio e' hostato sul server che ospita anche il file html a cui punta il link

ma una volta caricata la pagina si viene subito reindirizzati ad un server in USA
Il whois ci indica che il primo server che ospita l'immagine e la pagina inziale e' locato in Belgio

mentre tutto il codice del falso sito Poste It. Si trova in USA
Al momento Firefox non evidenzia il pericolo phishing qundo carichiamo il falso sito Poste Italiane.
Sembra strano che dopo le decine se non centinaia di attacchi phishing a Poste IT si continui con questi tentativi dato che ormai in molti dovrebbero essere a conoscenza del sistema impiegato per acquisire dati personali riservati agli utenti del sito web di Poste Italiane.

Edgar

martedì 27 novembre 2007

Il ritorno del typo-squatting italiano

Qualche mese fa' avevo pubblicato un post al riguardo del problema del typo squatting, cioe' di quei siti creati volutamente con una URL simile a quella del sito originale, per approfittare degli errori di digitazione nel browser e reindirizzare la navigazione internet a siti che linkano quasi sempre a files eseguibili contenenti malware.

Una lista in formato PDF di siti italiani di typo-squatting e' presente su: http://www.sunbelt-software.com/ihs/alex/Italytyposquat.pdf.

Partendo da questa lista avevo anche creato un file .TXT compatibile con il programma HostMan. (Il file txt di url typo-squatting compatibile con HostMan lo trovate qui)

Da allora, per qualche mese, per essendo online i siti con url typo-squatting digitando uno di questi indirizzi fasulli non si veniva reindirizzati ad alcun sito, mentre precedentemente si veniva reindirizzati su vvv.ragzze-spiate.com e da qui ad altre pagine con malware.

Una verifica eseguita oggi, ha invece mostrato, che il sito ragazze-spiate e' tornato attivo, anche se con differente layout e chiaramente differente malware allegato.

Il whois del sito punta a server USA (IP 75.126.144.219) (range 75.126.0.0 - 75.126.255.255 SoftLayer Technologies Inc. USA) mentre il whois del server su cui e' hostato il malware punta sempre a server USA ( IP 74.53.110.2) (Range = ThePlanet.com USA 74.52.0.0 - 74.53.255.255) che, guarda caso, e' sempre quel ThePlanet che abbiamo gia' visto nel precedente post dei falsi siti Blogger.

Esaminiamo cosa succede digitando ad esempio www.corrriere.it (3 r ) la pagina che ora si apre e' questa :
Intanto possiamo vedere che nel codice e' presente una istruzione del tipo:

che tenta di installare all'apertura, se usiamo Internet Explorer, il file accesso-contenuti.exe che Virus Total rileva come:

File accesso-contenuti.exe received on 11.26.2007 16:39:39 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V3---
AntiVir---
Authentium--Possibly a new variant of W32/new-malware!Maximus
Avast---
AVG--Win32/PEStealth
BitDefender--Dropped:Trojan.Sdel.B
CAT-QuickHeal--(Suspicious) - DNAScan
ClamAV---
DrWeb--Trojan.DownLoader.29809
eSafe--suspicious Trojan/Worm
eTrust-Vet---
Ewido---
FileAdvisor---
Fortinet---
F-Prot--W32/new-malware!Maximus
F-Secure--Trojan.Win32.Agent.aox
Ikarus---
Kaspersky--Trojan.Win32.Agent.aox
McAfee---
Microsoft--Worm:Win32/Semail.A
NOD32v2--a variant of Win32/Semail
Norman---
Panda--W32/Semail.A.worm
Prevx1--Heuristic: Suspicious Self Modifying EXE
Rising---
Sophos--Mal/HckPk-D
Sunbelt--VIPRE.Suspicious
Symantec---
TheHacker---
VBA32--suspected of Malware.Delf.18
VirusBuster---
Webwasher-Gateway--Worm.Win32.Malware.gen (suspicious)

Additional information
MD5: 061ec2c78983991763522499cd8e71ee

Inoltre tutte le immagini ed i link della pagina se cliccati (su qualunque browser) attivano il download del file accessocontenuti.exe che si viene invitati a scaricare ed installare per avere l'accesso a tutti i contenuti del sito

File accessocontenuti.exe received on 11.27.2007 10:40:42 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V3---
AntiVir---
Authentium--Possibly a new variant of W32/new-malware!Maximus
Avast---
AVG--Win32/PEStealth
BitDefender--Dropped:Trojan.Sdel.B
CAT-QuickHeal--(Suspicious) - DNAScan
ClamAV---
DrWeb--Trojan.DownLoader.29809
eSafe--suspicious Trojan/Worm
eTrust-Vet---
Ewido---
FileAdvisor---
Fortinet---
F-Prot--W32/new-malware!Maximus
F-Secure--Trojan.Win32.Agent.aox
Ikarus---
Kaspersky--Trojan.Win32.Agent.aox
McAfee---
Microsoft--Worm:Win32/Semail.A
NOD32v2--a variant of Win32/Semail
Norman---
Panda--W32/Semail.A.worm
Prevx1--Heuristic: Suspicious Self Modifying EXE
Rising---
Sophos--Mal/HckPk-D
Sunbelt--VIPRE.Suspicious
Symantec---
TheHacker---
VBA32--suspected of Malware.Delf.18
VirusBuster---
Webwasher-Gateway--Worm.Win32.Malware.gen (suspicious)

Additional information
MD5: b254027b7963e8e27a8de5ebe9426aec

accessocontenuti.exe presenta la stessa tipologia di malware del file accesso-contenuti.exe.

Nel codice e' anche presente un link ad un'altra pagina, che pero' nel mio caso non si attivava, ma che andando a verificare nel browser presenta un elenco di videochat che anche in questo caso linkano tutte al file hostato su latte11/mocahost.com



A titolo di prova ho utilizzato, per verificare il file malevolo accessocontenuti.exe anche il servizio offerto dal sito Anubis dell' Universita di Vienna http://analysis.seclab.tuwien.ac.at/index.php

Anubis e' uno strumento per analizzare il comportamento di eseguibili Windows con particolare attenzione all'analisi di files malware e da quanto si legge sembra che sia stata posta particolare attenzione al fatto che molti malware possono riconoscere l'ambiente virtuale nel quale vengono eseguiti e comportarsi di conseguenza. (http://analysis.seclab.tuwien.ac.at/features.php)
Questa la tabella comparativa delle caratteristiche di Anubis. Rispetto a softwares similari:

A differenza di Virus Total, Anubis verifica cosa succede eseguendo il file malware e genera un lunghissimo report di cui potete vedere una piccola parte nella videata qui sotto.

Non si tratta di un elenco di nomi di antivirus con il relativo nome del virus trovato come su Virus Total ma piuttosto di un dettagliato report su come agisce il malware al momento della sua attivazione in Windows e cioe' le modifiche al file registro, i files creati, i file eventualmente sostituiti dal programma malevolo, ecc.ecc...
E' comunque utile per avere qualche dato in piu' sul file pericoloso trovato, ricordando sempre che ormai, molti dei malware in circolazione, riescono a riconoscere l'ambiente in cui sono eseguiti e se rilevano ad esempio un ambiente con s.o. virtualizzato possono modificare il loro comportamento rispetto a quando vanno in run su un normale pc.

Tornando ai falsi siti typo-squatting sembra quindi che, al momento, tutte le URL, pubblicate da Sunbelt siano ritornate attive e presentino nuovamente un rischio per chi naviga in rete.

Edgar

In breve dalla rete

Disponibile la versione 2.0.0.10 di Firefox
Corretti:
MFSA 2007-39 Referer-spoofing via window.location race condition
MFSA 2007-38 Memory corruption vulnerabilities (rv:1.8.1.10)
MFSA 2007-37 jar: URI scheme XSS hazard

David Bizeul published a 70 page analysis on the Russian Business Network (RBN)
David Bizeul ha pubblicato un interessantissimo e dettagliato documento in PDF (70 pagine !) su RBN Russian Business Network che , per tutti quelli che si interessano di sicurezza in rete e' sinonimo di malware, phishing, ecc...) Il documento in lingua inglese e' scaricabile da qui,

US-CERT has reported a new vulnerability of Quicktime.
Apple QuickTime conterrebbe una vulnerabilita' ( stack buffer overflow vulnerability) che potrebbe permettere ad un attacco da remoto con esecuzione di codice malevolo.

Microsoft bug squashers are investigating reports of a serious security vulnerability in Windows operating systems that could allow attackers to take control of vast numbers of machines, particularly those located off US shores.
Circolano voci di un possibile bug che affliggerebbe tutti i sistemi operativi Windows, Vista compreso, e che sarebbe collegato ad una vecchia vulnerabilita' Windows che Microsoft pensava di aver risolto alcuni anni fa. Staremo a vedere se ci saranno conferme.

Edgar

Sella.it compie 10 anni: festeggia con noi!

La Banca Sella festeggia i 10 anni di attivita' in questi giorni (vedi schermata del sito della banca) dove possiamo leggere : "A partire da lunedì 26 novembre e fino al 5 dicembre, Sella.it è lieta di poter festeggiare insieme a te il proprio compleanno."


e, questa volta, con un tempismo veramente notevole, qualcuno a cercato di cogliere l'occasione per unirsi alla festa !!!

In questi giorni infatti circola in rete una mail di phishing nei confronti di Banca Sella contenente una immagine centrale che rappresenta graficamente quanto indicato dall'oggetto e cioe' "Sella.it compie 10 anni: festeggia con noi!"


Tra l'altro, chi ha creato la mail di phishing, ha pensato bene di prelevare l'immagine che compare nel messaggio, direttamente dal reale sito della banca ( www.sella.it/banca/img/compleanno2007/mail_compleanno.jpg) aumentando la credibilita del messaggio e con minimo sforzo.

Sia l'immagine che il link testuale puntano ad un sito hostato su server cinese.

Il server in questione appartiene ad un istituto cinese che si occupa di energia elettrica.
Al momento non e' stato possibile visualizzare la falsa pagina di phishing in quanto il link presente nella mail non e' funzionante o comunque sembra essere stato disattivato.
Il link viene comunque riconosciuto da Firefox come possibile collegamento a pagina di phishing.
Come si vede, l'astuzia di chi tenta di impadronirsi di dati personali attraverso falsi siti non ha limiti.

Edgar

Migliaia di false pagine Blogger

Quasi per caso, cercando con Google e le sue opzioni avanzate sono capitato su questa serie di domini cn. che linkano ad una enorme quantita' di pagine web che nel loro layout tentano di simulare una pagina blog di Blogger e nelle quali e' stato inserito anche il piccolo banner di Blogger per aumentare la credibilta'.
Ecco alcuni esempi:





Il contenuto delle pagine, che definire 'demenziale' e forse poco, e' in lingua italiana e si spiega con il tentativo di generare il maggior numero possibile di chiavi di ricerca per avere un grande numero di risultati quando, ad esempio, si esegue una ricerca su Google.
Le pagine contengono a loro volta codice java che reindirizza ad altri siti , probabilmente con malware e comunque tutti con contenuti 'spazzatura'
Di solito il primo dei links presenti sul testo della falsa pagina blog linka all 'indice di tutte le false pagine blog presenti per quel dominio.
Una particolarita' e che pur essendo su dominio .cn sembrerebbero tutte pagine hostate su servers Theplanet.com siti in Usa
C'e' da ricordare che l'hoster ThePlanet.com e' presente in quasi tutti gli elenchi di host che distribuiscono pagine e siti malware.
A parte l'utilizzo come pagine a se stanti raggiungibili tramite un motore di ricerca , potrebbe esserci anche un tentativo, visto il layout stile Blogger, di linkarle , ad esempio, all'interno di reali pagine blog create appositamente, oppure con tentativi di phishing tramite emails, come gia' accaduto su in passato.

Edgar



lunedì 26 novembre 2007

Sito di linea aerea compromesso da malware; alcune considerazioni.

Come riporta TrendLabsBlog si tratta del sito della Lao Airlines con sede a Vientiane, Laos.
E' la compagnia aerea di bandiera del Laos, che opera sia con voli interni che con collegamenti a Cambogia, China, Thailandia e Vietnam.
Visitando il sito della compagnia aerea che vediamo nella videata qui sotto

si viene reindirizzati, tramite script offuscato

che decodificato

punta ad un sito .cn che ospita malware di vario genere ( JS AGENT.WLN, JS PSYME.ACK
,TROJ DLOADER.BZQ)

La notizia, ha rilevanza, non tanto per l'importanza del sito in se' , dato che si tratta di compagnia aerea a carattere regionale, ma proprio per la tipologia di sito attaccato.

Stiamo infatti entrando nel periodo delle Festivita' Natalizie che vede un notevole aumento dei viaggi vacanza e di conseguenza consultazione online di pagine di agenzie turistiche, compagnie aeree, viaggi organizzati, e quindi anche prenotazioni online, che richiedono spesso pagamento tramite carta di credito.

Tutto questo rappresenta per i malintenzionati, una occasione da non lasciarsi sfuggire e sicuramente avremo una maggiore diffusione, nelle prossime settimane, di tentativi di phishing, truffe o attacchi malware a pagine web collegate ai siti di cui sopra.

Si raccomanda quindi una attenzione ancora maggiore del solito, specialmente per chi utilizza internet saltuariamente, magari solo in occasione delle Festivita' Natalizie, per programmare viaggi attraverso siti online, ed il consiglio e' sempre quello di cercare di verificare con cura l'attendibilita' del sito che si sta visitando prima di utilizzare dati e codici personali.

Edgar

sabato 24 novembre 2007

User Agent e Malware 'personalizzato'

Quando si visita un sito web, il nostro browser di solito invia al server web una stringa di testo che identifica lo user agent utilizzato.
L' user agent in questo specifico caso , e' il nostro browser web, ma potrebbe intendersi come U.A.(user agent) una qualunque applicazione client utilizzata con un certo protocollo di rete.

La stringa di testo identificata dal prefisso "User-agent:" normalmente include informazioni come il nome dell'applicazione client (il browser), la versione, il sistema operativo e la lingua utilizzata.
Queste informazioni possono essere usata dal server per conoscere che browser stiamo usando, il sistema operativo e permettergli di inviarci pagine o file compatibili con la nostra configurazione software ed hardware.

Questo metodo, viene sempre piu' spesso usato , dai siti distributori di malware per 'personalizzare' l'invio di codice malevolo tramite pagine appositamente create a seconda se usiamo Windows, Mac, Linux , ecc...

Un piccolo addons per Firefox, “User agent switcher”, permette di cambiare al volo l'User Agent ed, entro certi limiti, di poter testare la risposta di un sito malware a seconda dei diversi Sistemi Operativi identificati dalla stringa User Agent.

Di default “User agent switcher” possiede solo una stringa impostata ma si puo, od impostarne nuove a mano, o piu' semplicemente scaricare una lista aggiornata in rete da qui http://techpatterns.com/downloads/firefox/useragentswitcher.xml ed importarla nell'addon che ci permettera' cosi' di simulare un buon numero di browser e S.O. (Linux, Windows, Mac ecc....)

Vediamo ora un utilizzo pratico di questo addon.

Ci sono in rete molti siti (es. www.angelina-jolie-doing-it.info , www.celine-dion-facestanding-movies.org ecc... ) che al lato pratico reindirizzano sul sito itsgo.com e da qui ad una pagina che richiede un falso codec video per poter visualizzare il filmato proposto.

A questo punto interviene l'uso dell'user agent switcher per permetterci di vedere cosa succede a seconda del sitema operativo selezionato.
Supponiamo di aver selezionato una stringa U.A. corrispondente a Microsoft Windows e browser explorer
Questa sara' la pagina proposta

Se gli script sono attivi parte in automatico la box di download del falso codec
Inoltre se si tenta di chiudere la finestra che ci chiede di scaricare il plugin si entra in un continuo loop di richieste di download del malware.

che con virus total:

ile ultrahqcodec4158.exe received on 11.24.2007 03:57:35 (CET)
AntivirusVersionLast UpdateResult
AntiVir7.6.0.342007.11.23HEUR/Malware
AVG7.5.0.5032007.11.23Downloader.Zlob.KF
BitDefender7.22007.11.24Trojan.Downloader.Zlob.ABAZ
ClamAV0.91.22007.11.24Trojan.Dropper-3153
Ewido4.02007.11.23Downloader.Zlob.eie
F-Secure6.70.13030.02007.11.23Trojan.Win32.DNSChanger.abe
Kaspersky7.0.0.1252007.11.21Trojan.Win32.DNSChanger.abe
Prevx1V22007.11.24Generic.Dropper.xCodec
Sophos4.23.02007.11.23Troj/Zlobar-Fam
Symantec102007.11.24Trojan.Zlob
TheHacker6.2.9.1402007.11.24Trojan/Downloader.Zlob.eie
Webwasher-Gateway6.0.12007.11.24Heuristic.Malware

Additional information
File size: 231469 bytes
MD5: f40d72f2d4d8600227bbb1254b2359dd
SHA1: 281a264be675816ba2464d37332e2baba239d6e4


e' evidenziato come l'ormai noto e diffuso trojan ZLOB anche se come vediamo non molti software rilevano la minaccia.

Ripetiamo ora il caricamento del sito itsgo.com avendo pero' prima impostato il nostro U.A. come Mac OSX e browser Safari.
La pagina visualizzata cambia (sempre compatibilmente al fatto che siamo in ambiente Windows) ed anche il nome del file ora presenta l'estensione DMG (Apple Mac OS X Disk Image File).

Virus Total ci evidenzia il malware come un dns changer (modifica i nostri indirizzi DNS reindirizzando la nostra navigazione su siti malware, phishing ecc...)

ile ultrahqcodec4158.dmg received on 11.24.2007 03:31:35 (CET)
AntivirusVersionLast UpdateResult
IkarusT3.1.1.122007.11.24Trojan.Mac.Dnscha.dmg
Sophos4.23.02007.11.23OSX/RSPlug-Gen

Additional information
File size: 17585 bytes
MD5: e44f2f75e6f6c7f3822ff1fd49f51cc7
SHA1: 89a0b612877a75099e81968803ca36ac4b59394b

Abbiamo quindi visto come si sia diffusa la possibilta' da parte dei siti malware di selezionare il file malevolo a seconda del browser usato e questo per aumentare le possibilita' di infettare il maggior numero di computer possibili e come un piccolo addon Firefox ci possa aiutare ad effettuare una verifica di questo comportamento in maniera molto semplice.

Edgar

giovedì 22 novembre 2007

Mail di phishing CartaSi

Sta circolando in rete una mail di phshing ai danni di CartaSi.
L'invio di mails di phishing sembra abbastanza sostenuto; nelle ultime 12 ore ho ricevuto tre mail tutte con lo stesso messaggio:


Come si legge nella mail si cerca di convincere chi la riceve ad effettuare un login sul falso sito di cartaSi per visionare online l' estratto conto che ci riguarda.
Naturalmente come si attiva il link ci si trova su un falso sito di CartaSi che da un whois sembra essere ospitato su server olandese

Il sistema utilizzato e' sempre il solito e cioe' chiedere i dati personali riguardanti n. della carta . ecc...
Si spera che ormai chi riceve questa mail sia abbastanza informato per evitare di essere ingannato dal falso sito ed inoltre , ad esempio Firefox, ci informa del possibile phsihing tramite un messaggio, all'apertura della pagina .

Edgar

Sito di phishing Friendster con falso player Flash

Oltre a cercare di rubare dati riservati, vedi il noto esempio di Poste Italiane, i siti di phishing possono anche dimostrarsi pericolosi sotto un altro aspetto, e cioe' il tentativo di scaricare ed eseguire malware sul nostro computer.

Vediamo ad esempio un sito di phishing ai danni di Friendster.

Friendster e' un "social network service" fondato negli Stati Uniti da Jonathan Abrams nel marzo del 2002.
Dopo un notevole sviluppo ha dovuto subire la concorrenza di altri social network come MySpace ed anche, tra gli altri, di Windows Live Spaces, Yahoo! 360, e FaFacebook.
Quella che vediamo nello screenshot e' una falsa pagina di login che riproduce fedelmente quella autentica di Friendster.

Chiaramente viene accettato tutto quello che si scrive nel login dato che non esiste una reale verifica dell'account in quanto sito fasullo.
A questo punto viene caricata una pagina che ci segnala che il player flash che stiamo usando e' una vecchia versione con problemi di sicurezza, ed automaticamente, dopo 5 secondi, anche se si ha ad esempio in firefox l'addon noscript attivato, appare la finestra di download del file AdobeFlash.exe.
Questo avviene perche' si utilizza una semplicissima istruzione html senza scomodare esempio script java.


Normalmente, nei siti che abbiamo visto nei precedenti post, bisognava cliccare su qualche link o bottone per avviare il download mentre in questo caso, a mio avviso in maniera molto piu pericolosa, non dobbiamo preoccuparci di lanciare un download.
Questo e' reso possibile, poiche in testa al source della pagina e stata inserita una semplicissima istruzione meta tag html che permette il caricamento automatico di un file eseguibile senza scomodare script java o altri complicati codici. (mi sorprende che non venga utilizzata piu' spesso in siti contenenti malware)

Potete testare il vostro browser con questo sempli esempio:
Solo per chi non conosce l'uso del codice html, si tratta di 2 righe di codice inserito in una pagina a questo link: LINK DI TEST ad una PAGINA CON LOAD AUTOMATICO di file che se cliccat0, visualizza la pagina html e dopo 5 secondi attiva la finestra di download del file (nell'esempio la mia utility pingmonitor.exe (zippata)) Per annullare l'operazione basta chiudere la finestra di download.

La comparsa della finestra di download, attraverso l'uso di meta tag, dipende anche dal browser utilizzato (funziona bene con firefox ed opera) ed e' per questo i creatori del sito di phishing si sono cautelati aggiungendo anche un link diretto al falso file del lettore flash
C'e' da aggiungere che un antivirus puo rilevare l'apertura del link con il tentativo di scaricamento del file.
Questo un frammento del semplice codice presente nella pagina phishing


Brevemente per spiegarne la sinstassi , abbiamo un refresh della pagina che dopo 5 secondi (il numero 5 prima del nome del file exe) apre la finestra di download del file adobeflash.exe.

Virus Total evidenzia ancora una volta che non molti software riconoscono il malware contenuto nel falso player Flash.

File AdobeFlash.exe received on 11.22.2007 01:57:28 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32007.11.22.02007.11.21-
AntiVir7.6.0.342007.11.21-
Authentium4.93.82007.11.21-
Avast4.7.1074.02007.11.21-
AVG7.5.0.5032007.11.21-
BitDefender7.22007.11.21BehavesLike:W32.Trojan.Downl
CAT-QuickHeal9.002007.11.21-
ClamAV0.91.22007.11.22-
DrWeb4.44.0.091702007.11.21-
eSafe7.0.15.02007.11.21suspicious Trojan/Worm
eTrust-Vet31.3.53152007.11.21-
Ewido4.02007.11.21-
FileAdvisor12007.11.22-
Fortinet3.14.0.02007.11.21-
F-Prot4.4.2.542007.11.21-
F-Secure6.70.13030.02007.11.22Trojan-Down.Win32.Agent.ut
IkarusT3.1.1.122007.11.22Trojan-Down.Win32.Agent.ut
Kaspersky7.0.0.1252007.11.21Heur.Downloader
McAfee51682007.11.21-
Microsoft1.30072007.11.21TrojanDown:W32/Small.gen!M
NOD32v226772007.11.22probably n NewHeur_PE virus
Norman5.80.022007.11.21W32/Malware
Panda9.0.0.42007.11.21Suspicious file
Prevx1V22007.11.22Heuristic: Suspicious File
Rising20.19.21.002007.11.21-
Sophos4.23.02007.11.22-
Sunbelt2.2.907.02007.11.21-
Symantec102007.11.22-
TheHacker6.2.9.1362007.11.21-
VBA323.12.2.52007.11.20-
VirusBuster4.3.26:92007.11.21-
Webwasher-Gateway6.0.12007.11.22W32.ModifUPX.gen!90 (susp.)

Additional information
File size: 494839 bytes
MD5: 5a38da22494faa3bcc30f6a3551c6782
SHA1: 60ca5ce0785f0cfc971d9439369e3cc83aec8b26
packers: UPX
packers: PE_Patch.UPX



Il file eseguibile cosi' come il falso sito sono hostati su un server che un whois colloca in Svizzera.


Edgar






mercoledì 21 novembre 2007

Ls storia infinita del phishing Poste.it

Ormai e' diventata una consuetudine, anzi direi che se non arriva una mail di phishing Poste Italiane ogni tanto, se ne sente la mancanza.....
A parte gli scherzi, e' arrivata l'ennesima mail di phishing ai danni di Poste Italiane.
Il messaggio contenuto e' simile a quello ricevuto l'ultima volta e riguarda la vincita di un bonus di 99 euro che verranno accreditati sul nostro conto, dopo che ci saremo loggati con il nostro account al sito di Poste IT.
A parte le considerazioni sul messaggio, scritto in un italiano che lascia un po a desiderare, la novita' e' che questa volta le false pagine di phishing sono hostate su un server thailandese (finalmente anche dalle mie parti),

La particolarita' e' che il whois ci mostra che si tratta della rete tra le universita' thailandesi e il server e' quello della Thepsatri Rajabhat University sita in Lopburi, citta' a 150 km nord-est di Bangkok.
Sembra strano che continuino ad esistere simili tentativi quando ormai il phishing ai danni di Poste IT dovrebbe essere abbastanza conosciuto da chi usa internet; inoltre, per chi usa Firefox, la pagina viene evidenziata come tentativo di phishing.

Edgar