Problema su blogger a postare immagini con zoom in nuova pagina

Images don't enlarge when clicking on them


This is image from http://4.bp.blogspot.com/ server IMMAGINE NON ZOOMABILE
Se si clicca sull immagine in fierefox ed explorer si apre la window di download

this is image from http://3.bp.blogspot.com/ server IMMAGINE ZOOMABILE
Apre una nuova pagina con lo zoom.

E' da qualche ora che il tentativo di postare immagini oltre al testo su blogger , crea correttamente la preview dell'immagine ma cliccandoci sopra Firefox chiede di scaricare il file jpg e non , come deve essere, di aprire una nuova finestra con lo zoom immagine.
Succede solo al sottoscritto od e' un problema generalizzato???
Ho postato una richiesta di info sul sito blogger poiche' ho visto che anche altri sembrano avere questo problema.... da qualche ora.

Mi pare, anche scambiando alcuni messaggi con un'altro blogger in USA, di aver individuato il problema.
Sembrerebbe che se le immagini sono hostate sul server blogger bp3 quando si clicca il link queste vengano considerate come files scaricabili mentre se sono presenti sul server bp2 vengano aperte su una nuova pagina browser. Almeno da me e cosi'.......
Non so se e' cosi' per tutti.


AGGIORNAMENTI
Il problema esiste ed e' confermato dalle risposte ad un mio post su Blogger Help Group

Si tratta di un parametro presente nel codice del link che viene aggiunto erroneamente quando si upload l'immagine sul post e che rende il file jpeg impossibile da visualizzare zoomato in una nuova finestra.

Pare che una soluzione provvisoria in attesa che il problema venga risolto sia quella di modificare a mano il codice html sostituendo l'indirizzo al link dell'immagine con quello del link della thumbnail e mettendo al posto di s1600-R/ ----> s1600-h/ (R abilita il download -h lo zoom)
in pratica
prima della patch: (link immagine)

href="http://4.bp.blogspot.com/_-6waw8mcpyI/R0-YynhkMxI/AAAAAAAADEI/
Dg0yuhBPYEA/s1600-R/demenziale.jpg

dopo
cambiare il testo in verde con quello dell'indirizzo della miniatura dell'immagine che e' sulla pagina ( thumbnail ) e il codice s1600-R/ in s1600-h/

href="http://4.bp.blogspot.com/_-6waw8mcpyI/R0-YynhkMxI/AAAAAAAADEI/
Wl19XzX7X6E/s1600-h/demenziale.jpg"

e questo e' il risultato


Come si vede si tratta di una operazione abbastanza complessa che forse vale la pena di evitare attendendo soluzioni da parte di Blogger.
Nel frattempo una soluzione piu' rapida e' quella di utilizzare il servizio offerto da Pphotobucket che tra l'altro dispone di una buona gestione dei link delle immagini agli album e degli upload anche tramite applet java.


Aggiornamento 4 dicembre

Al momento il problema non e' stato ancora corretto

Un esempio di quello che succede lo trovate ora anche sul blog http://ddanchev.blogspot.com dove cliccando sull'immagine della mappa presente nel post viene attivato lo scaricamento della stessa anziche' lo zoom su nuova pagina.


Aggiornamento 4 dicembre ore 15.33 (thailand)

Sembra che finalmente il problema sia risolto.
L'imamgine qui sotto e' stata uploadata adesso e risulta cliccabile con zoom.



Edgar

Siti spazzatura su internet e ricerche collegate

-------------------------------------------------------------------------------------------------
Una breve nota tecnica al riguardo di questo post.
Come descrivo piu' in dettaglio nel seguente post ho incontrato seri problemi ad allegare immagini a questo post in quanto cliccando sopra le stesse non si aveva lo zoom ma veniva aperta la finestra di download del browser firefox.
La soluzione piu' rapida, in attesa di qualche chiarimento da parte di Blogger, e' stata quella di utilizzare il servizio offerto da Pphotobucket che tra l'altro dispone di una buona gestione dei link delle immagini agli album.
A vantaggio di questa scelta va la gestione migliore delle immagini allegate, del download e dei relativi link senza contare che lo spazio a disposizione per hostare le immagini aumenta rispetto a quello di Blogger.
Come svantaggio, ad esempio, si hanno piu' links esterni ad una pagina blogger e quindi potrebbero esserci problemi sia di caricamento dei files ed anche, nel caso di sospensione di un account photobucket, la relativa scomparsa delle immagini dai posts.
-----------------------------------------------------------------------------------------------

Siti spazzatura su internet e ricerche collegate.

Succede sempre piu' spesso che per cercare di comparire nei risultati di una ricerca internet vengano create pagine che contengono un elenco disordinato di parole o frasi che tra l'altro fanno sembrare quello che si visualizza un qualcosa tra il ridicolo e il demenziale.
In realta' la pagina, come vedremo, e' solo il tramite tra l'operazione di ricerca ed il sito, di solito con contenuti porno, che tentera' di infettare il nostro pc con malware.

La pagina contenente le centinaia di parole utili alla ricerca contiene di solito un codice che reindirizza istantaneamente sul sito scelto dai malintenzionati per tentare di introdurre sul nostro computer codici malevoli e quindi non viene praticamente visualizzata sul monitor, abbiamo in altre parole, un passaggio diretto ricerca -> home page sito malevolo.

Inoltre anche il contenuto dell'url della pagina viene scelto tra quelli di uso comune per aumentare le probabilita' che venga caricata anche senza ricorrere ad una ricerca internet.

Vediamo un tipico esempio, ricordando che in queste pagine che vedremo sono presenti codici malware o links a questi.

Il sito si chiama vvv.lericettedicucina.it e ricorda come url quelle di cui ho scritto in questo post.
A differenza pero' dell'altro sito questo ha un javascript attivo e se gli script sul browser sono disabilitati, possiamo vedere la pagina con le chiavi di ricerca e quindi la vera natura del sito che andremo a visitare.
Notate il testo che compone la pagina che pur senza senso e' utile per aumentare le possibilita' che una nostra ricerca ci porti su questo sito

Il sito contiene uno script parzialmente offuscato

che decodificato
ci reindirizza su questo sito

dove possiamo vedere che le ricerche proposte da Adult Friend Finder sono collegate all'IP di chi visita la pagina; in pratica vengono proposte diverse localita' a seconda dell'indirizzo IP rilevato.(basta usare un proxy server per accorgersi di questo fatto)



A parte questo, un volta cliccato sul link per entrare ne sito viene aperta la solita pagina di filmati porno che cliccati mostrano l'ormai consueto falso player video che ci invita a scaricare il file codec o meglio definito come setup necessario per visionare i contenuti video.

Virus Total evidenzia che setup.exe contiene:

File setup.exe received on 11.29.2007 15:01:50 (CET)
Antivirus	Version	Last Update	Result
AhnLab-V3	2007.11.29.0	2007.11.29	-
AntiVir	7.6.0.34	2007.11.29	-
Authentium	4.93.8	2007.11.29	-
Avast	4.7.1074.0	2007.11.28	Win32:Zlob-AGZ
AVG	7.5.0.503	2007.11.29	Downloader.Zlob.LI
BitDefender	7.2	2007.11.29	Trojan.Zlob.3.Gen
CAT-QuickHeal	9.00	2007.11.28	-
ClamAV	0.91.2	2007.11.29	Trojan.Dropper-2529
DrWeb	4.44.0.09170	2007.11.29	Trojan.Popuper
eSafe	7.0.15.0	2007.11.29	-
eTrust-Vet	31.3.5335	2007.11.29	-
Ewido	4.0	2007.11.29	-
FileAdvisor	1	2007.11.29	-
Fortinet	3.14.0.0	2007.11.29	-
F-Prot	4.4.2.54	2007.11.28	-
F-Secure	6.70.13030.0	2007.11.29	-
Ikarus	T3.1.1.12	2007.11.29	-
Kaspersky	7.0.0.125	2007.11.29	Trojan-Dow.Win32.Zlob.epa
McAfee	5173	2007.11.28	-
Microsoft	1.3007	2007.11.29	Trojan:Win32/Zlob.ZWC
NOD32v2	2693	2007.11.29	-
Norman	5.80.02	2007.11.28	-
Panda	9.0.0.4	2007.11.28	-
Prevx1	V2	2007.11.29	Generic.Dropper.xCodec
Rising	20.20.22.00	2007.11.29	-
Sophos	4.23.0	2007.11.29	-
Sunbelt	2.2.907.0	2007.11.27	-
Symantec	10	2007.11.29	-
TheHacker	6.2.9.144	2007.11.28	-
VBA32	3.12.2.5	2007.11.28	-
VirusBuster	4.3.26:9	2007.11.28	-
Webwasher-Gateway	6.6.2	2007.11.29	-
Additional information
File size: 81509 bytes
MD5: b1d71ef743b8c2e4df8ff67fc8e2d7d2
SHA1: b4378ffa299b6a440e2322146fc159b3ac9aa1d1

Come succede ormai frequentemente il malware e' pochissimo riconosciuto dai software presenti nell'elenco di V.T.

Alcune considerazioni sul whois a questi siti.

La pagina iniziale, cioe' vvv.lericettedicucina.it presenta un IP corrispondente a server USA

mentre la pagina di ingresso al sito porno e' locata su server UPL TELECOM (Repubblica Ceca)

La pagina contenente il falso code/setup invece e' hostata su server Inhoster (Ucraina) e questo ancora una volta dimostra che, a parte le recenti vicissitudini di RBN, tutto il sistema di distribuzione malware e' ben attivo.

Tra l'altro l'accoppiata UPL TELECOM >>>>> INHOSTER e' presente in rete da da tempo per diffondere malware attraverso siti porno.

Sembra che lo sfruttare false pagine contenenti migliaia di riferimenti, nomi, parole, frasi per cercare di comparire ai primi posti nei risultati dei motori di ricerca internet sia la soluzione piu' adottata in questi ultimi tempi.

A proposito di link a siti malevoli vorrei ancora ricordare che a mio avviso, un altro problema arriva da quei siti in cui vengono posti, sfruttando esempio forum o guest books, centinaia di collegamenti a siti pericolosi.

Mi riferisco, in particolare al caso italiano delle centinaia di siti istituzionali creati e poi forse abbandonati in rete da chi dovrebbe gestirli, di cui ho parlato in questi posts:

Internet ed alcuni siti dell'Amministrazione Pubblica - prima parte

seconda parte

terza parte

quarta parte

e collegato a questo anche ad indirizzi url creati appositamente simili a quelli di siti istituzionali di cui parlo in questo post
false url di siti istituzionali

Edgar

2 brevi aggiornamenti BOTNET

Da un po di giorni i domini che linkano alla botnet fast-flux di storm worm non presentano nessuna pagina web, visitando uno dei soliti indirizzi appartenenti alla rete storm worm appare una pagina vuota.
Non e' pero' vero che sia proprio cosi', infatti se proviamo a scaricare il file sony.exe questo risulta presente sul sito storm worm.
Scaricando piu' volte il file si vede che l'hash MD5 risulta differente come e' gia successo per i files malware scaricati dalle pagine precedenti di storm worm.

Virus total rileva sony.exe come :

File sony.exe received on 11.29.2007 10:55:23 (CET)
Antivirus	Version	Last Update	Result
AhnLab-V3	2007.11.29.0	2007.11.29	-
AntiVir	7.6.0.34	2007.11.29	Worm/Zhelatin.my
Authentium	4.93.8	2007.11.28	-
Avast	4.7.1074.0	2007.11.28	Win32:Zhelatin-ASX
AVG	7.5.0.503	2007.11.28	Generic9.ZME
BitDefender	7.2	2007.11.29	Generic.Malw SFMHY@mmign.50DA829A
CAT-QuickHeal	9.00	2007.11.28	I-Worm.Zhelatin.my
ClamAV	0.91.2	2007.11.29	-
DrWeb	4.44.0.09170	2007.11.29	Trojan.Spambot.2529
eSafe	7.0.15.0	2007.11.28	-
eTrust-Vet	31.3.5335	2007.11.29	-
Ewido	4.0	2007.11.28	-
FileAdvisor	1	2007.11.29	-
Fortinet	3.14.0.0	2007.11.29	-
F-Prot	4.4.2.54	2007.11.28	-
F-Secure	6.70.13030.0	2007.11.29	Email-Worm.Win32.Zhelatin.my
Ikarus	T3.1.1.12	2007.11.29	Backdoor.Win32.Agent.amd
Kaspersky	7.0.0.125	2007.11.29	Email-Worm.Win32.Zhelatin.my
McAfee	5173	2007.11.28	W32/Nuwar@MM
Microsoft	1.3007	2007.11.29	Backdoor:Win32/Nuwar.A
NOD32v2	2692	2007.11.28	a variant of Win32/Fuclip
Norman	5.80.02	2007.11.28	-
Panda	9.0.0.4	2007.11.28	Suspicious file
Prevx1	V2	2007.11.29	-
Rising	20.20.22.00	2007.11.29	Trojan.Win32.Mnless.zpn
Sophos	4.23.0	2007.11.29	-
Sunbelt	2.2.907.0	2007.11.27	-
Symantec	10	2007.11.29	Trojan.Peacomm.D
TheHacker	6.2.9.144	2007.11.28	-
VBA32	3.12.2.5	2007.11.28	-
VirusBuster	4.3.26:9	2007.11.28	-
Webwasher-Gateway	6.6.2	2007.11.29	Worm.Zhelatin.my
Additional information
File size: 129537 bytes
MD5: 4ea369a283f07ee4bf37a30b837f487f
SHA1: 7b25a6fadedc442900b32b36a3533cdd7490e9de

Vedremo se prossimamente, magari in occasione delle festivita' natalizie comparira' qualche nuova pagina sui siti storm.

La seconda notizia riguarda invece una botnet di cui non si e' ancora parlato molto ma che secondo un recente articolo pubblicato da ITNEWS varia tra 1 milione a 2 milioni di PC infetti.
Si tratta della botnet che sarebbe gestita dal gruppo identificato come ‘Celebrity Spam Gang’ e che secondo ricerche effettuate da Bradley Anstis sembrerebbe responsabile del 20% di tutto lo spam in circolazione.
Lo spam in questione riguarderebbe mails che hanno come oggetto celebrita' come Angelina Jolie o Britney Spears ma anche la distribuzione di giochi free per Windows o Windows Security Updates.
Pur presentando metodi meno sofisticati di Storm Worm pare che questa botnet si sia diffusa in maniera notevole tanto da avvicinarsi alle potenzialita' della piu' famosa botnet Storm.

Edgar

Google utilizzato per linkare a malware

Come ho gia' scritto in un precedente post "Le ricerche con Google che ci linkano a malware." sembra che ultimamente uno dei sistemi adottati per cercare di reindirizzare la navigazione internet su siti con contenuti malevoli sia quella di creare volutamente pagine con url che contengono riferimenti a parole di uso comune oppure a nomi di siti noti (es.governativi).
Di solito le frasi o parole usate sono in inglese ma recentemente si sono aggiunti anche siti con contenuto in lingua italiana.
Un tipico esempio di pagine contenenti migliaia di parole, in lingua italiana, che vengono linkate da un motore di ricerca lo vedete in questo precedente post "Migliaia di false pagine Blogger' .
In questi giorni sembra sia comparso in rete un enorme numero di false pagine create apposta per linkare ai primi posti dei risultati di una ricerca eseguita con Google falsi siti con malware.
Inoltre sunbelt presenta un documento in formato pdf che raccoglie un parte di frasi o parole che se utilizzate in una ricerca restituiscono pagine con contenuti malevoli.

Una nota interessante viene poi sempre da sunbelt in un post dove si descrive una nuova tecnica utilizzata da chi vuole nascondere le pagine con malware ad una ricerca eseguita utilizzando gli operatori avanzati di Google INURL e SITE.


Attraverso questo Javascript viene evitata la visualizzazione di un sito utilizzando gli operatori di Goggle che, spesso, sono utilizzati da chi ricerca in rete siti contenenti codice pericoloso.

Edgar

Ancora un Bonus Fedelta' di Poste Italiane

Ho ricevuto una nuova mail di phishing hai danni di Poste Italiane.
Questa volta la mail si distingue dalle precedenti, per il modo con cui e stata creata e cioe' l'utilizzo di una immagine al posto del testo relativo al messaggio.

Come si vede il testo (immagine) e' sempre quello della vincita di un bonus di 99 euro che ci verra' accreditato solo dopo che ci saremo connessi al sito Poste It e l'uso dell'immagine ha anche lo scopo di evitare eventuali filtri antispam.
L'immagine nella mail e' inserita all'interno di codice html che permette di avere anche la definizione di un area sensibile al mouse, simulando cosi' un link (testo in blu).(vedi codice)


Il file jpg del messaggio e' hostato sul server che ospita anche il file html a cui punta il link

ma una volta caricata la pagina si viene subito reindirizzati ad un server in USA
Il whois ci indica che il primo server che ospita l'immagine e la pagina inziale e' locato in Belgio

mentre tutto il codice del falso sito Poste It. Si trova in USA
Al momento Firefox non evidenzia il pericolo phishing qundo carichiamo il falso sito Poste Italiane.
Sembra strano che dopo le decine se non centinaia di attacchi phishing a Poste IT si continui con questi tentativi dato che ormai in molti dovrebbero essere a conoscenza del sistema impiegato per acquisire dati personali riservati agli utenti del sito web di Poste Italiane.

Edgar

Il ritorno del typo-squatting italiano

Qualche mese fa' avevo pubblicato un post al riguardo del problema del typo squatting, cioe' di quei siti creati volutamente con una URL simile a quella del sito originale, per approfittare degli errori di digitazione nel browser e reindirizzare la navigazione internet a siti che linkano quasi sempre a files eseguibili contenenti malware.

Una lista in formato PDF di siti italiani di typo-squatting e' presente su: http://www.sunbelt-software.com/ihs/alex/Italytyposquat.pdf.

Partendo da questa lista avevo anche creato un file .TXT compatibile con il programma HostMan. (Il file txt di url typo-squatting compatibile con HostMan lo trovate qui)

Da allora, per qualche mese, per essendo online i siti con url typo-squatting digitando uno di questi indirizzi fasulli non si veniva reindirizzati ad alcun sito, mentre precedentemente si veniva reindirizzati su vvv.ragzze-spiate.com e da qui ad altre pagine con malware.

Una verifica eseguita oggi, ha invece mostrato, che il sito ragazze-spiate e' tornato attivo, anche se con differente layout e chiaramente differente malware allegato.

Il whois del sito punta a server USA (IP 75.126.144.219) (range 75.126.0.0 - 75.126.255.255 SoftLayer Technologies Inc. USA) mentre il whois del server su cui e' hostato il malware punta sempre a server USA ( IP 74.53.110.2) (Range = ThePlanet.com USA 74.52.0.0 - 74.53.255.255) che, guarda caso, e' sempre quel ThePlanet che abbiamo gia' visto nel precedente post dei falsi siti Blogger.

Esaminiamo cosa succede digitando ad esempio www.corrriere.it (3 r ) la pagina che ora si apre e' questa :
Intanto possiamo vedere che nel codice e' presente una istruzione del tipo:

che tenta di installare all'apertura, se usiamo Internet Explorer, il file accesso-contenuti.exe che Virus Total rileva come:

File accesso-contenuti.exe received on 11.26.2007 16:39:39 (CET)
Antivirus	Version	Last Update	Result
AhnLab-V3	-	-	-
AntiVir	-	-	-
Authentium	-	-	Possibly a new variant of W32/new-malware!Maximus
Avast	-	-	-
AVG	-	-	Win32/PEStealth
BitDefender	-	-	Dropped:Trojan.Sdel.B
CAT-QuickHeal	-	-	(Suspicious) - DNAScan
ClamAV	-	-	-
DrWeb	-	-	Trojan.DownLoader.29809
eSafe	-	-	suspicious Trojan/Worm
eTrust-Vet	-	-	-
Ewido	-	-	-
FileAdvisor	-	-	-
Fortinet	-	-	-
F-Prot	-	-	W32/new-malware!Maximus
F-Secure	-	-	Trojan.Win32.Agent.aox
Ikarus	-	-	-
Kaspersky	-	-	Trojan.Win32.Agent.aox
McAfee	-	-	-
Microsoft	-	-	Worm:Win32/Semail.A
NOD32v2	-	-	a variant of Win32/Semail
Norman	-	-	-
Panda	-	-	W32/Semail.A.worm
Prevx1	-	-	Heuristic: Suspicious Self Modifying EXE
Rising	-	-	-
Sophos	-	-	Mal/HckPk-D
Sunbelt	-	-	VIPRE.Suspicious
Symantec	-	-	-
TheHacker	-	-	-
VBA32	-	-	suspected of Malware.Delf.18
VirusBuster	-	-	-
Webwasher-Gateway	-	-	Worm.Win32.Malware.gen (suspicious)
Additional information
MD5: 061ec2c78983991763522499cd8e71ee

Inoltre tutte le immagini ed i link della pagina se cliccati (su qualunque browser) attivano il download del file accessocontenuti.exe che si viene invitati a scaricare ed installare per avere l'accesso a tutti i contenuti del sito

File accessocontenuti.exe received on 11.27.2007 10:40:42 (CET)
Antivirus	Version	Last Update	Result
AhnLab-V3	-	-	-
AntiVir	-	-	-
Authentium	-	-	Possibly a new variant of W32/new-malware!Maximus
Avast	-	-	-
AVG	-	-	Win32/PEStealth
BitDefender	-	-	Dropped:Trojan.Sdel.B
CAT-QuickHeal	-	-	(Suspicious) - DNAScan
ClamAV	-	-	-
DrWeb	-	-	Trojan.DownLoader.29809
eSafe	-	-	suspicious Trojan/Worm
eTrust-Vet	-	-	-
Ewido	-	-	-
FileAdvisor	-	-	-
Fortinet	-	-	-
F-Prot	-	-	W32/new-malware!Maximus
F-Secure	-	-	Trojan.Win32.Agent.aox
Ikarus	-	-	-
Kaspersky	-	-	Trojan.Win32.Agent.aox
McAfee	-	-	-
Microsoft	-	-	Worm:Win32/Semail.A
NOD32v2	-	-	a variant of Win32/Semail
Norman	-	-	-
Panda	-	-	W32/Semail.A.worm
Prevx1	-	-	Heuristic: Suspicious Self Modifying EXE
Rising	-	-	-
Sophos	-	-	Mal/HckPk-D
Sunbelt	-	-	VIPRE.Suspicious
Symantec	-	-	-
TheHacker	-	-	-
VBA32	-	-	suspected of Malware.Delf.18
VirusBuster	-	-	-
Webwasher-Gateway	-	-	Worm.Win32.Malware.gen (suspicious)
Additional information
MD5: b254027b7963e8e27a8de5ebe9426aec

accessocontenuti.exe presenta la stessa tipologia di malware del file accesso-contenuti.exe.

Nel codice e' anche presente un link ad un'altra pagina, che pero' nel mio caso non si attivava, ma che andando a verificare nel browser presenta un elenco di videochat che anche in questo caso linkano tutte al file hostato su latte11/mocahost.com

A titolo di prova ho utilizzato, per verificare il file malevolo accessocontenuti.exe anche il servizio offerto dal sito Anubis dell' Universita di Vienna http://analysis.seclab.tuwien.ac.at/index.php

Anubis e' uno strumento per analizzare il comportamento di eseguibili Windows con particolare attenzione all'analisi di files malware e da quanto si legge sembra che sia stata posta particolare attenzione al fatto che molti malware possono riconoscere l'ambiente virtuale nel quale vengono eseguiti e comportarsi di conseguenza. (http://analysis.seclab.tuwien.ac.at/features.php)

Questa la tabella comparativa delle caratteristiche di Anubis. Rispetto a softwares similari:

A differenza di Virus Total, Anubis verifica cosa succede eseguendo il file malware e genera un lunghissimo report di cui potete vedere una piccola parte nella videata qui sotto.

Non si tratta di un elenco di nomi di antivirus con il relativo nome del virus trovato come su Virus Total ma piuttosto di un dettagliato report su come agisce il malware al momento della sua attivazione in Windows e cioe' le modifiche al file registro, i files creati, i file eventualmente sostituiti dal programma malevolo, ecc.ecc...
E' comunque utile per avere qualche dato in piu' sul file pericoloso trovato, ricordando sempre che ormai, molti dei malware in circolazione, riescono a riconoscere l'ambiente in cui sono eseguiti e se rilevano ad esempio un ambiente con s.o. virtualizzato possono modificare il loro comportamento rispetto a quando vanno in run su un normale pc.

Tornando ai falsi siti typo-squatting sembra quindi che, al momento, tutte le URL, pubblicate da Sunbelt siano ritornate attive e presentino nuovamente un rischio per chi naviga in rete.

Edgar

In breve dalla rete

Disponibile la versione 2.0.0.10 di Firefox
Corretti:
MFSA 2007-39 Referer-spoofing via window.location race condition
MFSA 2007-38 Memory corruption vulnerabilities (rv:1.8.1.10)
MFSA 2007-37 jar: URI scheme XSS hazard

David Bizeul published a 70 page analysis on the Russian Business Network (RBN)
David Bizeul ha pubblicato un interessantissimo e dettagliato documento in PDF (70 pagine !) su RBN Russian Business Network che , per tutti quelli che si interessano di sicurezza in rete e' sinonimo di malware, phishing, ecc...) Il documento in lingua inglese e' scaricabile da qui,

US-CERT has reported a new vulnerability of Quicktime.

Apple QuickTime conterrebbe una vulnerabilita' ( stack buffer overflow vulnerability) che potrebbe permettere ad un attacco da remoto con esecuzione di codice malevolo.

Microsoft bug squashers are investigating reports of a serious security vulnerability in Windows operating systems that could allow attackers to take control of vast numbers of machines, particularly those located off US shores.
Circolano voci di un possibile bug che affliggerebbe tutti i sistemi operativi Windows, Vista compreso, e che sarebbe collegato ad una vecchia vulnerabilita' Windows che Microsoft pensava di aver risolto alcuni anni fa. Staremo a vedere se ci saranno conferme.

Edgar

Sella.it compie 10 anni: festeggia con noi!

La Banca Sella festeggia i 10 anni di attivita' in questi giorni (vedi schermata del sito della banca) dove possiamo leggere : "A partire da lunedì 26 novembre e fino al 5 dicembre, Sella.it è lieta di poter festeggiare insieme a te il proprio compleanno."


e, questa volta, con un tempismo veramente notevole, qualcuno a cercato di cogliere l'occasione per unirsi alla festa !!!

In questi giorni infatti circola in rete una mail di phishing nei confronti di Banca Sella contenente una immagine centrale che rappresenta graficamente quanto indicato dall'oggetto e cioe' "Sella.it compie 10 anni: festeggia con noi!"


Tra l'altro, chi ha creato la mail di phishing, ha pensato bene di prelevare l'immagine che compare nel messaggio, direttamente dal reale sito della banca ( www.sella.it/banca/img/compleanno2007/mail_compleanno.jpg) aumentando la credibilita del messaggio e con minimo sforzo.

Sia l'immagine che il link testuale puntano ad un sito hostato su server cinese.

Il server in questione appartiene ad un istituto cinese che si occupa di energia elettrica.
Al momento non e' stato possibile visualizzare la falsa pagina di phishing in quanto il link presente nella mail non e' funzionante o comunque sembra essere stato disattivato.
Il link viene comunque riconosciuto da Firefox come possibile collegamento a pagina di phishing.
Come si vede, l'astuzia di chi tenta di impadronirsi di dati personali attraverso falsi siti non ha limiti.

Edgar

Migliaia di false pagine Blogger

Quasi per caso, cercando con Google e le sue opzioni avanzate sono capitato su questa serie di domini cn. che linkano ad una enorme quantita' di pagine web che nel loro layout tentano di simulare una pagina blog di Blogger e nelle quali e' stato inserito anche il piccolo banner di Blogger per aumentare la credibilta'.
Ecco alcuni esempi:





Il contenuto delle pagine, che definire 'demenziale' e forse poco, e' in lingua italiana e si spiega con il tentativo di generare il maggior numero possibile di chiavi di ricerca per avere un grande numero di risultati quando, ad esempio, si esegue una ricerca su Google.
Le pagine contengono a loro volta codice java che reindirizza ad altri siti , probabilmente con malware e comunque tutti con contenuti 'spazzatura'
Di solito il primo dei links presenti sul testo della falsa pagina blog linka all 'indice di tutte le false pagine blog presenti per quel dominio.
Una particolarita' e che pur essendo su dominio .cn sembrerebbero tutte pagine hostate su servers Theplanet.com siti in Usa
C'e' da ricordare che l'hoster ThePlanet.com e' presente in quasi tutti gli elenchi di host che distribuiscono pagine e siti malware.
A parte l'utilizzo come pagine a se stanti raggiungibili tramite un motore di ricerca , potrebbe esserci anche un tentativo, visto il layout stile Blogger, di linkarle , ad esempio, all'interno di reali pagine blog create appositamente, oppure con tentativi di phishing tramite emails, come gia' accaduto su in passato.

Edgar

Sito di linea aerea compromesso da malware; alcune considerazioni.

Come riporta TrendLabsBlog si tratta del sito della Lao Airlines con sede a Vientiane, Laos.
E' la compagnia aerea di bandiera del Laos, che opera sia con voli interni che con collegamenti a Cambogia, China, Thailandia e Vietnam.
Visitando il sito della compagnia aerea che vediamo nella videata qui sotto

si viene reindirizzati, tramite script offuscato

che decodificato

punta ad un sito .cn che ospita malware di vario genere ( JS AGENT.WLN, JS PSYME.ACK
,TROJ DLOADER.BZQ)

La notizia, ha rilevanza, non tanto per l'importanza del sito in se' , dato che si tratta di compagnia aerea a carattere regionale, ma proprio per la tipologia di sito attaccato.

Stiamo infatti entrando nel periodo delle Festivita' Natalizie che vede un notevole aumento dei viaggi vacanza e di conseguenza consultazione online di pagine di agenzie turistiche, compagnie aeree, viaggi organizzati, e quindi anche prenotazioni online, che richiedono spesso pagamento tramite carta di credito.

Tutto questo rappresenta per i malintenzionati, una occasione da non lasciarsi sfuggire e sicuramente avremo una maggiore diffusione, nelle prossime settimane, di tentativi di phishing, truffe o attacchi malware a pagine web collegate ai siti di cui sopra.

Si raccomanda quindi una attenzione ancora maggiore del solito, specialmente per chi utilizza internet saltuariamente, magari solo in occasione delle Festivita' Natalizie, per programmare viaggi attraverso siti online, ed il consiglio e' sempre quello di cercare di verificare con cura l'attendibilita' del sito che si sta visitando prima di utilizzare dati e codici personali.

Edgar

User Agent e Malware 'personalizzato'

Quando si visita un sito web, il nostro browser di solito invia al server web una stringa di testo che identifica lo user agent utilizzato.
L' user agent in questo specifico caso , e' il nostro browser web, ma potrebbe intendersi come U.A.(user agent) una qualunque applicazione client utilizzata con un certo protocollo di rete.

La stringa di testo identificata dal prefisso "User-agent:" normalmente include informazioni come il nome dell'applicazione client (il browser), la versione, il sistema operativo e la lingua utilizzata.
Queste informazioni possono essere usata dal server per conoscere che browser stiamo usando, il sistema operativo e permettergli di inviarci pagine o file compatibili con la nostra configurazione software ed hardware.

Questo metodo, viene sempre piu' spesso usato , dai siti distributori di malware per 'personalizzare' l'invio di codice malevolo tramite pagine appositamente create a seconda se usiamo Windows, Mac, Linux , ecc...

Un piccolo addons per Firefox, “User agent switcher”, permette di cambiare al volo l'User Agent ed, entro certi limiti, di poter testare la risposta di un sito malware a seconda dei diversi Sistemi Operativi identificati dalla stringa User Agent.

Di default “User agent switcher” possiede solo una stringa impostata ma si puo, od impostarne nuove a mano, o piu' semplicemente scaricare una lista aggiornata in rete da qui http://techpatterns.com/downloads/firefox/useragentswitcher.xml ed importarla nell'addon che ci permettera' cosi' di simulare un buon numero di browser e S.O. (Linux, Windows, Mac ecc....)

Vediamo ora un utilizzo pratico di questo addon.

Ci sono in rete molti siti (es. www.angelina-jolie-doing-it.info , www.celine-dion-facestanding-movies.org ecc... ) che al lato pratico reindirizzano sul sito itsgo.com e da qui ad una pagina che richiede un falso codec video per poter visualizzare il filmato proposto.

A questo punto interviene l'uso dell'user agent switcher per permetterci di vedere cosa succede a seconda del sitema operativo selezionato.
Supponiamo di aver selezionato una stringa U.A. corrispondente a Microsoft Windows e browser explorer
Questa sara' la pagina proposta

Se gli script sono attivi parte in automatico la box di download del falso codec
Inoltre se si tenta di chiudere la finestra che ci chiede di scaricare il plugin si entra in un continuo loop di richieste di download del malware.

che con virus total:

ile ultrahqcodec4158.exe received on 11.24.2007 03:57:35 (CET)
Antivirus	Version	Last Update	Result
AntiVir	7.6.0.34	2007.11.23	HEUR/Malware
AVG	7.5.0.503	2007.11.23	Downloader.Zlob.KF
BitDefender	7.2	2007.11.24	Trojan.Downloader.Zlob.ABAZ
ClamAV	0.91.2	2007.11.24	Trojan.Dropper-3153
Ewido	4.0	2007.11.23	Downloader.Zlob.eie
F-Secure	6.70.13030.0	2007.11.23	Trojan.Win32.DNSChanger.abe
Kaspersky	7.0.0.125	2007.11.21	Trojan.Win32.DNSChanger.abe
Prevx1	V2	2007.11.24	Generic.Dropper.xCodec
Sophos	4.23.0	2007.11.23	Troj/Zlobar-Fam
Symantec	10	2007.11.24	Trojan.Zlob
TheHacker	6.2.9.140	2007.11.24	Trojan/Downloader.Zlob.eie
Webwasher-Gateway	6.0.1	2007.11.24	Heuristic.Malware
Additional information
File size: 231469 bytes
MD5: f40d72f2d4d8600227bbb1254b2359dd
SHA1: 281a264be675816ba2464d37332e2baba239d6e4

e' evidenziato come l'ormai noto e diffuso trojan ZLOB anche se come vediamo non molti software rilevano la minaccia.

Ripetiamo ora il caricamento del sito itsgo.com avendo pero' prima impostato il nostro U.A. come Mac OSX e browser Safari.
La pagina visualizzata cambia (sempre compatibilmente al fatto che siamo in ambiente Windows) ed anche il nome del file ora presenta l'estensione DMG (Apple Mac OS X Disk Image File).

Virus Total ci evidenzia il malware come un dns changer (modifica i nostri indirizzi DNS reindirizzando la nostra navigazione su siti malware, phishing ecc...)

ile ultrahqcodec4158.dmg received on 11.24.2007 03:31:35 (CET)
Antivirus	Version	Last Update	Result
Ikarus	T3.1.1.12	2007.11.24	Trojan.Mac.Dnscha.dmg
Sophos	4.23.0	2007.11.23	OSX/RSPlug-Gen
Additional information
File size: 17585 bytes
MD5: e44f2f75e6f6c7f3822ff1fd49f51cc7
SHA1: 89a0b612877a75099e81968803ca36ac4b59394b

Abbiamo quindi visto come si sia diffusa la possibilta' da parte dei siti malware di selezionare il file malevolo a seconda del browser usato e questo per aumentare le possibilita' di infettare il maggior numero di computer possibili e come un piccolo addon Firefox ci possa aiutare ad effettuare una verifica di questo comportamento in maniera molto semplice.

Edgar

Mail di phishing CartaSi

Sta circolando in rete una mail di phshing ai danni di CartaSi.
L'invio di mails di phishing sembra abbastanza sostenuto; nelle ultime 12 ore ho ricevuto tre mail tutte con lo stesso messaggio:


Come si legge nella mail si cerca di convincere chi la riceve ad effettuare un login sul falso sito di cartaSi per visionare online l' estratto conto che ci riguarda.
Naturalmente come si attiva il link ci si trova su un falso sito di CartaSi che da un whois sembra essere ospitato su server olandese

Il sistema utilizzato e' sempre il solito e cioe' chiedere i dati personali riguardanti n. della carta . ecc...
Si spera che ormai chi riceve questa mail sia abbastanza informato per evitare di essere ingannato dal falso sito ed inoltre , ad esempio Firefox, ci informa del possibile phsihing tramite un messaggio, all'apertura della pagina .

Edgar

Sito di phishing Friendster con falso player Flash

Oltre a cercare di rubare dati riservati, vedi il noto esempio di Poste Italiane, i siti di phishing possono anche dimostrarsi pericolosi sotto un altro aspetto, e cioe' il tentativo di scaricare ed eseguire malware sul nostro computer.

Vediamo ad esempio un sito di phishing ai danni di Friendster.

Friendster e' un "social network service" fondato negli Stati Uniti da Jonathan Abrams nel marzo del 2002.
Dopo un notevole sviluppo ha dovuto subire la concorrenza di altri social network come MySpace ed anche, tra gli altri, di Windows Live Spaces, Yahoo! 360, e FaFacebook.
Quella che vediamo nello screenshot e' una falsa pagina di login che riproduce fedelmente quella autentica di Friendster.

Chiaramente viene accettato tutto quello che si scrive nel login dato che non esiste una reale verifica dell'account in quanto sito fasullo.
A questo punto viene caricata una pagina che ci segnala che il player flash che stiamo usando e' una vecchia versione con problemi di sicurezza, ed automaticamente, dopo 5 secondi, anche se si ha ad esempio in firefox l'addon noscript attivato, appare la finestra di download del file AdobeFlash.exe.
Questo avviene perche' si utilizza una semplicissima istruzione html senza scomodare esempio script java.


Normalmente, nei siti che abbiamo visto nei precedenti post, bisognava cliccare su qualche link o bottone per avviare il download mentre in questo caso, a mio avviso in maniera molto piu pericolosa, non dobbiamo preoccuparci di lanciare un download.
Questo e' reso possibile, poiche in testa al source della pagina e stata inserita una semplicissima istruzione meta tag html che permette il caricamento automatico di un file eseguibile senza scomodare script java o altri complicati codici. (mi sorprende che non venga utilizzata piu' spesso in siti contenenti malware)

Potete testare il vostro browser con questo sempli esempio:
Solo per chi non conosce l'uso del codice html, si tratta di 2 righe di codice inserito in una pagina a questo link: LINK DI TEST ad una PAGINA CON LOAD AUTOMATICO di file che se cliccat0, visualizza la pagina html e dopo 5 secondi attiva la finestra di download del file (nell'esempio la mia utility pingmonitor.exe (zippata)) Per annullare l'operazione basta chiudere la finestra di download.

La comparsa della finestra di download, attraverso l'uso di meta tag, dipende anche dal browser utilizzato (funziona bene con firefox ed opera) ed e' per questo i creatori del sito di phishing si sono cautelati aggiungendo anche un link diretto al falso file del lettore flash
C'e' da aggiungere che un antivirus puo rilevare l'apertura del link con il tentativo di scaricamento del file.
Questo un frammento del semplice codice presente nella pagina phishing


Brevemente per spiegarne la sinstassi , abbiamo un refresh della pagina che dopo 5 secondi (il numero 5 prima del nome del file exe) apre la finestra di download del file adobeflash.exe.

Virus Total evidenzia ancora una volta che non molti software riconoscono il malware contenuto nel falso player Flash.

File AdobeFlash.exe received on 11.22.2007 01:57:28 (CET)
Antivirus	Version	Last Update	Result
AhnLab-V3	2007.11.22.0	2007.11.21	-
AntiVir	7.6.0.34	2007.11.21	-
Authentium	4.93.8	2007.11.21	-
Avast	4.7.1074.0	2007.11.21	-
AVG	7.5.0.503	2007.11.21	-
BitDefender	7.2	2007.11.21	BehavesLike:W32.Trojan.Downl
CAT-QuickHeal	9.00	2007.11.21	-
ClamAV	0.91.2	2007.11.22	-
DrWeb	4.44.0.09170	2007.11.21	-
eSafe	7.0.15.0	2007.11.21	suspicious Trojan/Worm
eTrust-Vet	31.3.5315	2007.11.21	-
Ewido	4.0	2007.11.21	-
FileAdvisor	1	2007.11.22	-
Fortinet	3.14.0.0	2007.11.21	-
F-Prot	4.4.2.54	2007.11.21	-
F-Secure	6.70.13030.0	2007.11.22	Trojan-Down.Win32.Agent.ut
Ikarus	T3.1.1.12	2007.11.22	Trojan-Down.Win32.Agent.ut
Kaspersky	7.0.0.125	2007.11.21	Heur.Downloader
McAfee	5168	2007.11.21	-
Microsoft	1.3007	2007.11.21	TrojanDown:W32/Small.gen!M
NOD32v2	2677	2007.11.22	probably n NewHeur_PE virus
Norman	5.80.02	2007.11.21	W32/Malware
Panda	9.0.0.4	2007.11.21	Suspicious file
Prevx1	V2	2007.11.22	Heuristic: Suspicious File
Rising	20.19.21.00	2007.11.21	-
Sophos	4.23.0	2007.11.22	-
Sunbelt	2.2.907.0	2007.11.21	-
Symantec	10	2007.11.22	-
TheHacker	6.2.9.136	2007.11.21	-
VBA32	3.12.2.5	2007.11.20	-
VirusBuster	4.3.26:9	2007.11.21	-
Webwasher-Gateway	6.0.1	2007.11.22	W32.ModifUPX.gen!90 (susp.)
Additional information
File size: 494839 bytes
MD5: 5a38da22494faa3bcc30f6a3551c6782
SHA1: 60ca5ce0785f0cfc971d9439369e3cc83aec8b26
packers: UPX
packers: PE_Patch.UPX

Il file eseguibile cosi' come il falso sito sono hostati su un server che un whois colloca in Svizzera.


Edgar

Ls storia infinita del phishing Poste.it

Ormai e' diventata una consuetudine, anzi direi che se non arriva una mail di phishing Poste Italiane ogni tanto, se ne sente la mancanza.....
A parte gli scherzi, e' arrivata l'ennesima mail di phishing ai danni di Poste Italiane.
Il messaggio contenuto e' simile a quello ricevuto l'ultima volta e riguarda la vincita di un bonus di 99 euro che verranno accreditati sul nostro conto, dopo che ci saremo loggati con il nostro account al sito di Poste IT.
A parte le considerazioni sul messaggio, scritto in un italiano che lascia un po a desiderare, la novita' e' che questa volta le false pagine di phishing sono hostate su un server thailandese (finalmente anche dalle mie parti),

La particolarita' e' che il whois ci mostra che si tratta della rete tra le universita' thailandesi e il server e' quello della Thepsatri Rajabhat University sita in Lopburi, citta' a 150 km nord-est di Bangkok.
Sembra strano che continuino ad esistere simili tentativi quando ormai il phishing ai danni di Poste IT dovrebbe essere abbastanza conosciuto da chi usa internet; inoltre, per chi usa Firefox, la pagina viene evidenziata come tentativo di phishing.

Edgar

Contenuti cinesi

Fortunatamente non mi capita spesso di ricevere molte mail di spam, con contenuti malware o con links che puntano a siti pericolosi.
Di solito ho sempre cercato di usare, ad esempio quando visito siti che richiedono mails per registrarsi, degli indirizzi mail temporanei o comunque creati esclusivamente per quell'utilizzo.

Oggi invece e' arrivato un messaggio di mail che gia' dal testo, scritto in un italiano abbastanza credibile, e' tutto un programma



Il link che appare sulla mail punta a server che un whois indica come .cn (Cina)


Il codice della pagina contiene un link ad un falso plugin video che dovrebbe essere scaricato per vedere il filmato di cui si parla nel testo


Questo e' il codice abbastanza scarno della pagina


Il file del falso plugin codec_8-2.exe si dimostra essere un malware che solo il 37% dei software presenti su Virus Total rileva

Come si vede stiamo assistendo ultimamente ad un calo nelle prestazioni di molti antivirus dovuto al fatto che il nuovo malware viene immesso in rete in maniera massiccia ed a brevissimi intervalli di tempo escono decine di varianti (per non dire ad ogni nuovo caricamento della pagina infetta).
Se si vede anche quanto e' riportato nel precedente post relativo ad un'altro falso codec il numero di programmi che riconoscono il malware e' molto ridotto.
Sono purtroppo finiti i tempi quando una scansione con il nostro antivirus del file scaricato da Internet bastava a confermarne l'affidabilita'.
Pare quindi evidente che una buona prevenzione sia quella di evitare sempre di scaricare ed installare software che ci viene proposto tramite mails, falsi messaggi pubblicitari (vedi il recente software Toolsicuro di cui si parla molto in questi giorni) o siti web che non conosciamo.

Edgar

Non c'e' pace per Myspace

Sembra che per Myspace ultimamente i problemi non finiscano mai.

Avevamo appena visto l'attacco effettuato incorporando nei vari siti Myspace codice che reindirizzava su siti .cn che si e' diffusa in rete la notizia di una grande campagna di phishing nei confronti del noto sito.

Questa volta non si utilizzano falsi messaggi di mail ma commenti inseriti all'interno delle stesse pagine di Myspace e da questi si viene reindirizzati su siti di phishing con dominio .cn
Ecco un esempio alla url 125723.cn (il cui whois punta comunque a server USA).


Si tratta di una falsa pagina di login di Myspace, come si vede dallo screenshot, con lo scopo di catturare i dati di login di migliaia di utenti Myspace.
Una volta eseguito il login i dati vengono trasferiti su

Firefox segnala comunque le false pagine Myspace come probabile tentativo di phishing


Ulteriori notizie sul http://ddanchev.blogspot.com

Edgar

Hosting Solutions - Aggiornamento

Ho ricevuto un commento all'articolo Il range IP 194.242.61.1.....254 Tante conferme ... da parte di Arsenico che scrive '........Hosting Solutions ha messo down un server per un giorno (corrispondente agli IP in questo articolo). Alla riattivazione erano resettate tutte le password ftp e alcune impostazioni. ......."
Per vedere se era cambiato qualcosa al riguardo dei codici javascript offuscati presenti ho rieseguito una scansione con il tool Webscanner.
I risultati, confermano la presenza degli script offuscati nelle stesse pagine della scansione del 5 novembre.
L'unica differenza e' che sembrerebbe aumentato il numero si siti, 'puliti' , hostato su questo range con l'aggiunta di nuovi.
In ogni caso, se anche si e' proceduto ad un reset delle passwords di accesso ftp, questo chiaramente non ha influito sul contenuto delle pagine con malware presenti sul server, che rimarrano sino a quando non si procedera' alla bonifica del codice malevolo.
Il cambio passwords, se non altro, potrebbe evitare che nuovi siti vengano compromessi accedendo al loro codice sorgente, tramite passwords trafugate.

Edgar

Aggiornamenti downloads e blog

Si stanno veriicando problemi con Mediafire per scaricare i Tools.
Sembrerebbe che i files presenti relativi ai vari tools non siano piu' presenti sul sito.
Per ovviare a questo inconveniente e' ora disponibile, in via sperimentale e sfruttando le possibilita' offerte da Google Page Creator una pagina internet che ospita descrizione e files dei Tools cliccando qui.

Google Page permette la creazione di pagine web ed anche l'upload di files e il relativo link sulle pagine create offrendo 100 mega di spazio.

Ritengo che la soluzione adottata dovrebbe, forse, garantire una migliore integrazione tra blog e download in quanto si tratta di applicazioni tutte gestite da Google.

Aggiornamento

Mediafire continua ad avere problemi;
I file scaricabili dei Tools sono ora disponibli sulla nuova Pagina dei Downloads che utilizza il nuovo servizio Google Pages.

Un periodo nero per Internet?
E'' solo coincidenza ma da qualche ora sorgono alcuni problemi riguardo alla navigazione su Internet, almeno da queste parti.
Abbiamo iniziato ieri con Punto Informatico offline per un po di ore (problema hardware a quanto pare)
Poi ci si e' messo il sito di Mediafire ( tuttora con la pagina dei download OFFLINE o peggio persa per via di qualche problema che tra l'altro blocca anche il login al sito)
Questa mattina (ore 1 AM della notte in Italia, 7 di sera in USA) il collegamento a Blogger da spesso Server Error.



Aggiornamento

Mediafire ha ripreso a funzionare riprisitnando anche tutti i files presenti nel folder di download.
Penso che in ogni caso manterro' anche la nuova pagina dei downloads.

Edgar

Punto Informatico OFFLINE ?

E' da un po di ore che, almeno dalla Thailandia, la home page di Punto Informatico risulta irragiungibile.

Problemi di collegamento tra Thailandia e Italia oppure P.I. OFFLINE ?!
Ho verificato il blackout del noto quotidiano di informazione su Internet verso le 9 am ora thai quando in Italia erano circa le 3. am.
Al momento, sono le 12.38 in Bangkok e la homepage di P.I. continua ad essere irragiungibile, almeno per chi naviga in rete da queste parti.
Presumo che se fosse per manutenzione del server forse a questora dovrebbe essere di nuovo online.
Un trace di P.I. , a parte la cronica lentezza della connessione out of Thailand, mostra che il sito risulta OFFLINE.

Se chi legge il blog vuole lasciare un commento per confermare o smentire la notizia ..............

Agiornamento ore 15,15 (9.15 in Italia)

E' apparso sul sito di PI un avviso parla di un problema tecnico:
---------------------------------------------------------------------------------
PUNTO INFORMATICO
Il sito del quotidiano informatico è temporaneamente irraggiungibile.
Lo staff tecnico è al lavoro e prevede di ripristinare i servizi entro le ore 09:20.
Ci scusiamo per il disagio.
Punto Informatico
Roma - 19.11.2007
-------------------------------------------------------------------------------

Edgar

Le ricerche con Google che ci linkano a malware.

Abbiamo precedentemente visto come un buon numero di siti Istituzionali Italiani venga attaccato scaricando sui forum, blogs o guest books, a volte presenti nei siti, decine di messaggi contenenti links a pagine porno, malware, di pharmacy ... ecc...

Esiste pero' un altro sistema per coinvolgere loro malgrado i Siti Istituzionali, di Enti Pubblici ecc.. con lo scopo di linkare pagine con contenuti per adulti o di altro discutibile genere.
Mi riferisco alla creazione di url ingannevoli che contengono al loro interno riferimenti esempio a links di siti comunali, a siti di Enti Pubblici, ecc....

Una ricerca con Google ci puo', come si vede, portare a questi risultati

oppure (riferimento a siti del governo italiano e di ministeri .gov)


Esaminiamo il primo caso, ricordando che ci sono una gran quantita' di risultati ottentuti con Google che conducono a queste pagine.

C'e' inoltre da distinguere quello che succede una volta cliccato sul link a seconda che il nostro browser abbia un blocco per l'esecuzione dei javascript, presnti nelle pagine che visiteremo, oppure no.

Vediamo tutti i passaggi che ci porteranno dal falso link del comune sino a scaricare un pericoloso eseguibile camuffato da plugin video. (notate che il nome del comune che appare nel risultato della ricerca e' preceduto dal .ru che ci dice gia' la reale provenineza della pagina che andremo a visualizzare)

La prima cosa che succede cliccando sul link , se gli script sono disabilitati, e' il caricamento di questa pagina
Come si vede ci sono decine di links in tema con la ricerca che avevamo fatto.
La pagina al suo interno contiene questo script:

La seconda parte dello script offuscato contiene il codice di decodifica della prima parte.Una volta deoffuscato abbiamo

che utilizzato per decodificare la prima parte offuscata genera il codice


che ci linka questa nuova pagina intermedia (in lingua italiana)



che a sua volta linka automaticamente a pagine di filmati per adulti... proposti free...

Ora basta cliccare su una immagine qualsiasi per essere reindirizzati ad un altro sito di cui vediamo la schermata.


Abbiamo visualizzato un falso box di testo che ci invita a scaricare un falso plugin video senza il quale la visione dei filmati non e' possibile.

Il reale contenuto di questo eseguibile, playcodec4064.exe , non e' un plugin video ma malware, anche se vediamo che Virus Total elenca pochissimi antivirus che al momento rilevano il pericolo.

File playcodec4064.exe received on 11.19.2007 02:44:26 (CET)
Antivirus	Version	Last Update	Result
AhnLab-V3	2007.11.17.0	2007.11.16	-
AntiVir	7.6.0.34	2007.11.18	HEUR/Malware
Authentium	4.93.8	2007.11.17	-
Avast	4.7.1074.0	2007.11.18	-
AVG	7.5.0.503	2007.11.18	Downloader.Zlob.KF
BitDefender	7.2	2007.11.19	Trojan.Downloader.Zlob.ABAZ
CAT-QuickHeal	9.00	2007.11.17	-
ClamAV	0.91.2	2007.11.19	-
DrWeb	4.44.0.09170	2007.11.18	-
eSafe	7.0.15.0	2007.11.14	-
eTrust-Vet	31.2.5304	2007.11.17	-
Ewido	4.0	2007.11.18	-
FileAdvisor	1	2007.11.19	-
Fortinet	3.11.0.0	2007.11.18	-
F-Prot	4.4.2.54	2007.11.18	-
F-Secure	6.70.13030.0	2007.11.19	Trojan.Win32.DNSChanger.abj
Ikarus	T3.1.1.12	2007.11.19	Win32.DnsChanger.MP
Kaspersky	7.0.0.125	2007.11.19	Trojan.Win32.DNSChanger.abj
McAfee	5165	2007.11.16	-
Microsoft	1.3007	2007.11.19	-
NOD32v2	2666	2007.11.19	-
Norman	5.80.02	2007.11.16	-
Panda	9.0.0.4	2007.11.18	-
Prevx1	V2	2007.11.19	-
Rising	20.18.61.00	2007.11.18	-
Sophos	4.23.0	2007.11.18	Troj/Zlobar-Fam
Sunbelt	2.2.907.0	2007.11.17	-
Symantec	10	2007.11.19	-
TheHacker	6.2.9.133	2007.11.17	Trojan/Downloader.Zlob.eie
VBA32	3.12.2.5	2007.11.16	-
VirusBuster	4.3.26:9	2007.11.18	-
Webwasher-Gateway	6.0.1	2007.11.18	Heuristic.Malware
Additional information
File size: 231570 bytes
MD5: 2048a5acfc38af84662d9f831f01bffb
SHA1: 0df8594a6869edc0d73a50ea789cd347922d3366

Come detto precedentemente se sul browser l'esecuzione degli script java e' pienamente abilitata veniamo direttamente linkati da Google alla pagina dei filmati porno senza passare per le pagine ed i siti intermedi che abbiamo visto sopra.

I whois delle pagine iniziali puntano a siti russi; range degli IP 82.204.219.0 - 82.204.219.255 appartenente a POCHTA_RU-NET Russia per la pagina iniziale


e IP 84.252.148.140 MCHOST Russia per la pagina internmedia


mentre la pagina dei filmati e' hostata in USA - Cernel. Inc cosi' come la pagina del falso plugin.

Come si vede i sistemi per cercare di diffondere malware si affidano molto spesso all'utilizzo di Google cercando di nascondere link pericolosi a fronte di ricerche apparentemente innocue.

E' per questo che anche usando Google bisogna sempre prestare la massima attenzione a quello che appare nella url risultato della ricerca ed e' sempre utile abilitare la navigazione all'interno di una sandboxie per isolare preventivamente l'eventuale apertura di pagine pericolose.
In alternativa, o meglio, congiuntamente a Sandboxie e' bene attivare un blocco degli script (es. sotto Firefox tramite l'addon NoScritp ) dato che la maggior parte di queste pagine con malware utilizza script java per reindirzzare la nostra navigazione verso link pericolosi o per eseguire exploit che tentano di scaricare e lanciare codice malevolo.

Edgar

Cross Site Scripting (XSS) Aggiornamenti

Comune di Milano



Comune di Torino


Edgar

Internet ed alcuni siti dell'Amministrazione Pubblica – quarta parte

Concludiamo la rassegna con un ultimo esempio di sito istituzionale italiano il cui forum viene tuttora usato per diffondere link a siti porno, di pharmacy, ecc.....

Si tratta del comune di Montecatini Val di Cecina. (http://www.comune.montecatini.pi.it/)
Ho scelto questo link per evidenziare come le date degli ultimi post contenenti collegamenti a siti porno siano attuali, cosa che fa presumere un costante aggiornamento dei post sul forum.

L'accesso al forum non si puo' neanche dire che sia nascosto ma si trova in bella mostra direttamente dalla homepage cliccando sul link in alto a destra.



Sono disponibili centinaia di links a pagine con contenuti per adulti ed altro.

Per finire ecco una pagina generata da Google sulla ricerca di siti della Pubblica Amministrazione con all'interno links a siti per adulti, pharmacy ecc...

La ricerca effettuata ad esempio con keyword “comune” e “.it” e "porn" genera piu' di 8000 url di siti tra i quali una buona parte appartiene a pagine web di Comuni italiani.

Per risolvere questo problema esistono diverse possibilita'.

La prima piu ovvia e drastica sarebbe quella di non inserire su questi siti istituzionali, applicazioni web quali forum, blogs o guest books o eventualmente eliminarle da quei siti che gia' le ospitano.

Se invece si vuole mantenere la possibilita' a chi visita il sito di usare ad esempio un forum o un guest book allora assicurarsi che ci sia una costante amministrazione dell'applicazione forum, guest book o blog e non dimenticarsene una volta creata ed inserita nel sito.

C'e' anche da ricordare che l'applicazione WEB forum spesso presenta vulnerabilita' abbastanza gravi.
La quasi totalità dei forum presenti nel web permette l'uso di codici HTML all'interno dei post e questo permette la creazione di script (exploit) che possono rendere il forum vulnerabile ad attacchi di diverso tipo.

Edgar

Storm Worm e Geocities

Da quanto segnala sunbeltblog sembra che le mails di spam legate a storm worm presenterebbero ora link a pagine di Geocities, principalmente di utenti tedeschi e olandesi,che sono state compromesse con l'aggiunta di codice javascript offuscato.

C'e anche da dire che sembra che ci siano pagine su Geocities che non contengono codice offuscato ma un redirect alla pagina con il falso plugin da scaricare.

Questa pagina ad esempio contiene un redirect in chiaro geocities.com/MediciChavez7861

Il numero dei siti compromessi di utenti Geocities si aggirerebbe sul migliaio e il codice javascript una volta decodificato punterebbe all'IP 58.65.238.56. (Un whois dell'IP punta a Hong Kong)


La pagina presente all'indirizzo IP cerca di far scaricare un falso plugin dal nome iPIX-installer.exe facendo credere che sia indispensabile per visualizzare le foto presenti sulla pagina; pare che una volta attivato il malware si connetta ad un server in Turchia per uploadare i dati catturati dal computer che lo ospita.

Esaminato con Virus Total il file eseguibile dimostra la sua pericolosita'.

Sembra che alcuni AV, tra cui NOD32, non riconscano comunque il malware.

Queste nuove mails di spam collegate a Geocities potrebbe forse significare che chi gestisce stormworm abbia messo la botnet a disposizione di altri gruppi.

Edgar

Un pranzo indigesto.

All'IP 64.239.38.128 ( whois USA) e' presente un sito di ricette italiane, ma attenti, perche' potrebbero risualtare parecchio indigeste per il vostro computer.

1) mangiare-italiano.com
2) piatto-del-giorno.com
3) ricette-carne.com
4) ricette-di-pesce.com
5) ricette-primi-piatti.com

Il sito comprende link a pagine di ricette e persino la possibilita' di sottoscrivere un feed rss


Il problema e' che tutte o quasi le pagine del sito presentano un link ad un file javascript offuscato dal nome che contrasta un po' con l'argomento trattato e cioe' dimagrire.js

A parte gli scherzi, il file contiene un javascript offuscato abbastanza lungo


che decodificato presenta un altro codice in parte anch'esso offuscato


E' probabile che contenga un exploit per scaricare malware sul pc anche se al momento non l'ho ancora decodificato.

In ogni caso evitate di aprire questi link se non avete preso tutte le precauzioni necessarie, ............ prima di cucinare........... .

Edgar

Internet ed alcuni siti dell'Amministrazione Pubblica - terza parte

Un altro esempio, che possiamo trovare, tra i tanti disponibili in internet riguarda un blog appartenente alla 'Regione Autonoma Friuli Venezia Giulia'

Una conferma ci viene dal whois della pagina


come si vede in questo caso abbiamo dei trackback che puntano tutti a siti per adulti,di pharmacy, ecc...

Anche qui le date sono recenti, (fine ottobre) e comunque appare evidente che questo blog non venga verificato molto spesso dai creatori in quanto nessuno si e' attivato per eliminare questi links.

Sul sito dell Comune di Portovenere (Liguria) e' invece il forum ad essere stato utilizzato per spam di links a siti porno


Questo e' l'elenco degli account registrati (327)

dove si puo' vedere che alcuni sono di recentissima creazione.



Per la regione Emilia Romagna abbiamo invece questo forum con post recenti.

Questa invece e' la 'Piazza Telematica' del Comune di Portogruaro


http://www.comune.portogruaro.ve.it/forumfin/display_forum.asp

L'idea e' valida ed il nome un po' altisonante ma..........non esiste neanche la fatica di andare a sfogliare i post, basta una ricerca ed otteniamo una lista di 20 pagine !!


Il sito del Comune sembra comunque essere aggiornato con notizie di novembre e quindi probabilmente si sono dimenticati che hanno anche un forum da gestire e di quello che avevano scritto nella pagina di ingresso al forum “ L'Amministrazione Comunale si riserva la facoltà di cancellare i messaggi lesivi dei diritti della persona, sanciti dalla Costituzione e dalle leggi vigenti.”

Da quello che abbiamo visto sembra quindi che la maggior parte di questi siti abbia i forum o i guest books che sono utilizzati per distribuire links a siti porno, o comunque probabilmente anche link a pgine contenenti malware e, come gia detto, non esiste la capacita' di verificare cosa viene postato ed eventualmente rimuovere i links.

L'idea del forum per avere interattivita' tra Istituzione e Cittadini e' lodevole ma se non si riesce a garantirne un funzionamento corretto forse sarebbe meglio rinunciarvi poiche' chi vista queste pagine ne tra una impressione negativa che puo venire facilmente associata a tutti i contenuti del sito che si sta visualizzando.

In altre parole, perche' ci si ostina ad utilizzare queste possibilita' offerte dal Web (blog, forum, guest books) quando non si sa gestirle o non se ne ha il tempo, ottenendo quindi risultati sconcertanti come quelli che abbiamo visto, per di piu' non su siti qualsiasi, ma su siti istituzionali ?

Continua

Edgar

Internet ed alcuni siti dell'Amministrazione Pubblica - seconda parte

Visto quello che succede sul sito della Provincia di Frosinone vediamo un altro esempio, un po diverso e cioe' un sito di un Comune italiano che ospita files con malware, javascript offuscato e una serie notevole di link a siti porno.

A mitigare la pericolosita' del sito sembrerebbe che lo stesso da qualche mese sia stato sostituito da una nuova versione, ma resta il fatto che da google e' ancora raggiungibile anche il vecchio sito.
Inoltre, come vedremo il file con malware e' datato 24 ottobre 2007 e quindi recente, almeno come inserimento nel server.

E d'obbligo una premessa per chi pensasse che per ottenere queste informazioni occorra usare strumenti particolari da hacker, niente di tutto questo, occorre solo usare google con qualche opzione nella sua finestra di input della ricerca e un browser opportunamente settato onde evitare spiacevoli conseguenze se si caricano pagine con javascript pericolosi al loro interno.
Quindi alla portata di chiunque abbia una minima conoscenza della navigazione in internet.

Ecco i dettagli:

Sito istituzionale del Comune di Porto Torres (Sardegna) http://www.comune.porto-torres.ss.it/web/

Questa versione del sito, presumibilmente ora e' stata sostituita da un nuovo sito a questo indirizzo url http://www.comune.porto-torres.ss.it/web2/ ma il vecchio sito (che dalle date riportate sembrerebbe stato attivo sino ai primi mesi del 2007) e' tuttora raggiungibile da google e risulta on line.


Il server che ospita il sito permette di accedere dal browser alla struttura delle directory e come si vede contiene tra l'altro anche file in formato html.

Aperto il file ci troviamo di fronte ad un lungo elenco di termini porno ed a una serie di links a siti del medesimo genere, che parevano essere hostati sul medesimo server.




Inoltre all'interno del file si trova un link ad un file javascript esterno in parte offuscato hostato su sito http://wwwtopmovies2000.cn/files/dildo.js, il dominio in questione e' tuttora attivo.




Non si spiegano due cose: la prima e' come mai su un server che ospitava il sito si possano trovare di questi files, inoltre per quale motivo il vecchio sito, se a quanto pare e' ormai obsoleto non venga chiuso evitando la anche involontaria possibilita' di hostare malware.

Continua

Edgar

Internet ed alcuni siti dell'Amministrazione Pubblica - prima parte

Lo sviluppo di Intenet ha portato alla nascita, anche in Italia, di siti collegati alla Pubblica Amministrazione che devono facilitare i rapporti tra lo Stato e i cittadini nei piu' svariati campi di utilizzo ( finanza pubblica, comunicazioni al e dal cittadino, rilascio di documanti e certificati ecc......).

Intorno a questo e' nato percio' tutto un insieme di strutture pubbliche e private che hanno creato, creano e mantengono siti web di Amministrazioni Pubbliche, Enti, Province , Comuni, Regioni ecc......
A volte pero', progetti che sulla carta, partivano come portatori di innovazione tecnologica finiscono nella pratica abbandonati dopo qualche tempo, a fronte, quasi sempre di spese non indifferenti.

L'impressione e' che, per la marginale conoscernza al problema di chi commissiona un portale web od anche un semplice sito , la cosa si risolva nell'accettazione di proposte di 'alta tecnologia informantica' che poi quando realizzate, al lato pratico, si dimostrano, a volte, di scadente qualita' e anche di utilizzo non agevole da parte di un comune navigatore internet.

Non solo, anche per quei siti che, una volta attivati, andrebbero mantenuti efficienti ed aggiornati, ci troviamo molto spesso, e sempre piu' di frequente, di fronte a situazioni poco edificanti.
Il dubbio che sorge. e' che dopo la creazione e l'attivazione del sito, chi deve curarne la sicurezza o gli aggiornamenti, non esista o se presente, molte volte abbia delle conoscenze molto limitate su quello che deve fare.

Dpo questa premessa , iniziamo con un esempio.

Portale della Provincia di Frosinone Online. http://www.provincia.fr.it/


Si tratta del portale della provincia laziale con un insieme di informazioni e links a diversi uffici, attivita', enti collegati e con la presenza di annuci che riguardano le attivita' istituzionali della provincia.


Andando sulla pagina dell'Ufficio Relazioni con il Pubblico (URP) ecco la sorpresa
Provate a dare una occhiata al libro degli ospiti, basta che selezionate URP dalla main page e poi ' libro degli ospiti'.

Come vede dall'immagine ci sono 16.131 ( leggasi sedicimilacentotrentuno) messaggi fake di genere porno.Sono cosi' tanti che e' umanamente impossibile riuscire a leggerli tutti.



Non entro nei particolari di come sia stato possibile creare questo enorme archivio, ma dal punto di vista pratico questo denuncia, come minimo la poca attenzione, se non l'assemza completa di un controllo del sito da parte di chi e' addetto alla sicurezza. dello stesso, anche dopo che il fatto e' avvenuto.
Non credo nenache che chi ha , diciamo cosi, iniettato nel libro degli ospiti 16.131 messaggi lo abbia fatto scrivendoli uno ad uno a mano................ ; notate anche gli indirizzi e-mail associati ai messaggi.
Se le date dei messaggi sono autentiche si tratta di post generati il 10 novembre e quindi quasi una settimana fa'.

Come si vede, succede quindi molto spesso che, una volta fatto il sito, l'attivita' di aggiornamento e di mantenimento della sicurezza, viene spesso vista solo come un optional poco interessante e dispendioso.

Continua

Edgar

Un falso compressore di files.

Il formato .ZIP nasce alla fine degli anni 80, attraverso un software in ambiento MS-DOS chiamato PKZIP
Il PK sta' per il nome del creatore Phil Katz, fondatore della PKWare.
Katz purtroppo non riteneva che Windows avrebbe avuto il successo che poi in realta' ebbe e non colse l'opportunita' di proseguire lo sviluppo anche per l'emergente sistema operativo.
Il software da lui creato (pkzip) venne presto rimpiazzato in Windows da altri prodotti come ad esempio quello sviluppato dalla WinZip Computing Inc. cioe' quel WinZip che tutti noi conosciamo e che probabilmente abbiamo almeno una volta utilizzato.
La storia di Phil Katz si conclude purtroppo tragicamente il 14 aprile 2000 quando, a soli 37 anni, viene trovato morto nella camera di un motel di Milwaukee a causa dell'abuso di alcool che da tempo lo affliggeva.
Un bel articolo dal titolo, Addio, Mr. Zip, che trattta di questo e che ci ricorda le prime esperienze fatte su un home computer lo trovate qui.

E evidente che avendo il formato ZIP una cosi' larga diffusione interessi anche chi crea falsi programmi a scopo di infettare computers con malware.

Se si ricerca in rete si scopre che ad esempio esiste un programma il cui nome differisce da quello del programma originale di compressione solo per una lettera, si tratta di Winzix.

Questa e' la home page di Winzix

chiaramente Winzix e' aggiornato anche per Windows Vista

e questa e' l'interfaccia del falso programma di compressione dati

Si noti la somiglianza all'interfaccia di winzip.

Se esaminiamo il file di setup con Virus Total questo e' il risultato:

File WinZix-2.2.0.0-setup-0411.exe received on 11.14.2007 15:37:20 (CET)
Antivirus	Version	Last Update	Result
AhnLab-V3	2007.11.14.1	2007.11.14	-
AntiVir	7.6.0.34	2007.11.14	DR/FraudTool.WinZix.A.130
Authentium	4.93.8	2007.11.14	-
Avast	4.7.1074.0	2007.11.13	Win32:Trojan-gen {Other}
AVG	7.5.0.503	2007.11.14	-
BitDefender	7.2	2007.11.14	Application.WinZix.A
CAT-QuickHeal	9.00	2007.11.14	-
ClamAV	0.91.2	2007.11.14	-
DrWeb	4.44.0.09170	2007.11.14	Trojan.Packed.149
eSafe	7.0.15.0	2007.11.13	-
eTrust-Vet	31.2.5294	2007.11.14	-
Ewido	4.0	2007.11.14	-
FileAdvisor	1	2007.11.14	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.4.2.54	2007.11.14	-
F-Secure	6.70.13030.0	2007.11.14	Trojan.Win32.Obfuscated.en
Ikarus	T3.1.1.12	2007.11.14	Virus.Trojan.Win32.Obfuscated.en
Kaspersky	7.0.0.125	2007.11.14	not-a-virus:FraudTool.Win32.WinZix.b
McAfee	5162	2007.11.13	-
Microsoft	1.3007	2007.11.12	-
NOD32v2	2658	2007.11.14	-
Norman	5.80.02	2007.11.14	-
Panda	9.0.0.4	2007.11.14	Application/WinZix
Prevx1	V2	2007.11.14	Heuristic: Suspicious Self Modifying File
Rising	20.18.20.00	2007.11.14	-
Sophos	4.23.0	2007.11.14	Mal/Generic-A
Sunbelt	2.2.907.0	2007.11.14	-
Symantec	10	2007.11.14	-
TheHacker	6.2.9.127	2007.11.14	-
VBA32	3.12.2.4	2007.11.11	-
VirusBuster	4.3.26:9	2007.11.13	-
Webwasher-Gateway	6.0.1	2007.11.14	Trojan.Dropper.FraudTool.WinZix.A.130
Additional information
File size: 1096241 bytes
MD5: a0e77a28248e3dcd33399b08bf7fa6c8
SHA1: 20bd372cb49756b88d76a24098fd5467468ddf22
packers: ZIP

Le maggiori case di programmi antivirus hanno sui loro siti le istruzioni di rimozione del malware.

A riprova che si tratta di un programma pericoloso se andiamo a verificare i siti presenti allo stesso IP del sito Winzix troviamo. tra gli altri. il sito di un falso programma di Torrent

Qui il risultato della scansione dell'install con Virusl Total

File TorrentSoftware-4.3.0.0-setup-059 received on 11.14.2007 16:35:22 (CET)
Antivirus	Version	Last Update	Result
AhnLab-V3	2007.11.14.1	2007.11.14	-
AntiVir	7.6.0.34	2007.11.14	-
Authentium	4.93.8	2007.11.14	-
Avast	4.7.1074.0	2007.11.13	Win32:Obfuscated-BPS
AVG	7.5.0.503	2007.11.14	-
BitDefender	7.2	2007.11.14	Trojan.FatObfus.2.Gen
CAT-QuickHeal	9.00	2007.11.14	-
ClamAV	0.91.2	2007.11.14	-
DrWeb	4.44.0.09170	2007.11.14	Trojan.Packed.149
eSafe	7.0.15.0	2007.11.13	-
eTrust-Vet	31.2.5294	2007.11.14	-
Ewido	4.0	2007.11.14	-
FileAdvisor	1	2007.11.14	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.4.2.54	2007.11.14	-
F-Secure	6.70.13030.0	2007.11.14	Trojan.Win32.Obfuscated.en
Ikarus	T3.1.1.12	2007.11.14	-
Kaspersky	7.0.0.125	2007.11.14	Trojan.Win32.Obfuscated.en
McAfee	5162	2007.11.13	-
Microsoft	1.3007	2007.11.12	-
NOD32v2	2658	2007.11.14	-
Norman	5.80.02	2007.11.14	-
Panda	9.0.0.4	2007.11.14	-
Prevx1	V2	2007.11.14	-
Rising	20.18.20.00	2007.11.14	-
Sophos	4.23.0	2007.11.14	Mal/Swizzor-B
Sunbelt	2.2.907.0	2007.11.14	-
Symantec	10	2007.11.14	-
TheHacker	6.2.9.127	2007.11.14	-
VBA32	3.12.2.4	2007.11.11	-
VirusBuster	4.3.26:9	2007.11.14	-
Webwasher-Gateway	6.0.1	2007.11.14	-
Additional information
File size: 1064258 bytes
MD5: 01bf47f13142041943c164b8b0218464
SHA1: c98de71d8d7d505fad1bd8003181a80ea0c486f4

ed anche il sito di un falso download manager

Qui il risultato della scansione dell'install con Virusl Total

File NetPumper-1.50-setup-0001.exe received on 11.14.2007 16:35:29 (CET)
Antivirus	Version	Last Update	Result
AhnLab-V3	2007.11.14.1	2007.11.14	-
AntiVir	7.6.0.34	2007.11.14	-
Authentium	4.93.8	2007.11.14	-
Avast	4.7.1074.0	2007.11.13	Win32:Obfuscated-BPP
AVG	7.5.0.503	2007.11.14	-
BitDefender	7.2	2007.11.14	Adware.LOP.BI
CAT-QuickHeal	9.00	2007.11.14	-
ClamAV	0.91.2	2007.11.14	-
DrWeb	4.44.0.09170	2007.11.14	Trojan.Packed.149
eSafe	7.0.15.0	2007.11.13	-
eTrust-Vet	31.2.5294	2007.11.14	-
Ewido	4.0	2007.11.14	-
FileAdvisor	1	2007.11.14	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.4.2.54	2007.11.14	-
F-Secure	6.70.13030.0	2007.11.14	Trojan.Win32.Obfuscated.en
Ikarus	T3.1.1.12	2007.11.14	-
Kaspersky	7.0.0.125	2007.11.14	Trojan.Win32.Obfuscated.en
McAfee	5162	2007.11.13	-
Microsoft	1.3007	2007.11.12	-
NOD32v2	2658	2007.11.14	-
Norman	5.80.02	2007.11.14	-
Panda	9.0.0.4	2007.11.14	Suspicious file
Prevx1	V2	2007.11.14	Heuristic: Suspicious Self Modifying File
Rising	20.18.20.00	2007.11.14	-
Sophos	4.23.0	2007.11.14	Mal/Swizzor-B
Sunbelt	2.2.907.0	2007.11.14	-
Symantec	10	2007.11.14	NetPumper
TheHacker	6.2.9.127	2007.11.14	-
VBA32	3.12.2.4	2007.11.11	-
VirusBuster	4.3.26:9	2007.11.14	-
Webwasher-Gateway	6.0.1	2007.11.14	-
Additional information
File size: 3573271 bytes
MD5: c3bb5ee0366411f546aaac6ab225f5b3
SHA1: a30e4dfb1115a5c28d860221cc9b514302d96a33

Come avevamo gia' visto molte altre volte, la grafica di queste pagine e' molto curata e non ha nulla da invidiare a quella dei siti di grandi produttori di software.
Una ragione in piu' per porre sempre molta attenzione quando scarichiamo ed installiamo sul nostro pc, software nuovi e di dubbia provenienza.

Edgar.

Seagate Maxtor Basics hard drives carry malware

Un po di tempo fa' era successo che un grosso produttore di alta tecnologia tedesco, Medion, avrebbe distribuito una partita di computer portatili, forse persino 10mila pezzi, contenenti un virus.
Evidentemente ci stanno prendendo gusto a simili sistemi di diffusione malware visto che blog.trendmicro.com riporta la notizia che a Taiwan, dischi rigidi Seagate Maxtor nuovi di fabbrica, conterrebbero malware.
Si tratterebbe di dischi da 500GB di capacità fabbricati in Thailandia. (per la cronaca vicino a dove abito c'e' la fabbrica della Seagate... ma non sono stato io a mettere il virus negli HD....).

Il malware sarebbe, sempre secondo TrendMicro,

BKDR_AGENT.ZYG
BKDR_AGENT.ZYJ
BKDR_BIFROSE.AZF
TROJ_MAC.AB
TROJ_MAC.AZ
WORM_AUTORUN.FW
WORM_MAC.AA
WORM_MAC.BB
WORM_MAC.CC
WORM_MAC.DD

e una volta in esecuzione farebbe un upload di dati contenuti negli HD su siti locati in Cina ma non solo; si parla di server a Dallas, Texas e in Corea.

In effetti e' facile per i cyber criminali registrare domini in Cina anche se poi si trovano geograficamente altrove.

Si tratta di un sistema molto insidioso in quanto chi acquista hardware nuovo non penserebbe mai di trovarci dentro la sorpresa virus.

Siamo forse di fronte all'affermarsi di una nuova pericolosa modalita' di distribuire malware ?

Edgar

Microsoft Security Bulletin MS07-061 – (KB 943460) - Rilasciata patch

Microsoft ha rilasciato la patch (definita critica) per la "Vulnerability in Windows URI Handling - Remote Code Execution" cioe' i problemi legati alla gestione degli URI (Uniform Resource Identifier), ed alla possibilita', per un malintenzionato, di creare indirizzi web o mail capaci di eseguire comandi e programmi senza l'autorizzazione dell'utente.

La patch risolve i problemi di Windows XP e Windows Server 2003 che erano stati rilevati eseguendo Acrobat e Adobe Reader, Firefox, Netscape, e programmi di mail quali Outlook Express e Outlook 2000 .

Infatti, anche se i produttori di molti di questi software, vedi esempio Adobe, avevano rilasciato le patch necessarie, Microsoft ha indicato che per risolvere del tutto il problema, sarebbe occorso una patch a livello del sistema operativo.

La patch e' scaricabile da qui.

Windows Vista, Vista x64 e Windows 2000 SP4 non presentano questa vulnerabilita'.

Edgar

Botnet on demand

Un po di tempo fa avevamo visto che si prospettava per la botnet di Storm Worm la possibilita' di affitto di porzioni di questa rete per scopi illeciti.
In effetti esiste gia', come vedremo, il modo' di affittare computers facenti parte di una botnet, che poi si tratti di Storm Worm botnet non e' chiaro, ma e' la prima cosa a cui viene da pensare.
D'altronde come evidenzia ddanchev.blogspot.com in uno dei suoi recenti post, il fatto che questa botnet venga affittata 'on demand' e non noleggiata con offerta di segmenti di rete botnet ben definiti, potrebbe far pensare a qualcosa di diverso , magari non ancora funzionante al 100% delle possibilta'.
In ogni caso, tramite un sito, che il whois rileva come registrato in Turchia, viene proposta una serie di pagine con tutti i dati necessari per poter affittare un certo numero di computers di questa rete botnet.

La main page ci presenta il regolamento e le faqs circa l'affitto della rete botnet. (Per la visualizzazione e' stato utilizzato Google Translator per passare dalla lingua russa all'inglese)


Possiamo poi vedere un po di statistiche, aggiornate, al riguardo di come sta funzionando la botnet.
Al momento ad esempio abbiamo circa 19.000 pc infetti che fanno parte della rete e ce ne sono online 1.928; inoltre nelle ultime 2 ore sarebbero stati aggiunti alla rete botnet (compromessi) 652 pc e nelle ultime 24 ore sarebbero 3183.
La tabella poi illustra le disponibilita' attuali divise per nazione.


Queste invece sono le tariffe (si presume per 1000 pc infetti messi a disposizione).
Si va dai 300$/1k per l'Australia, $200/1k per pc in Italia fino a 40$/1k per la Russia.


Cosa si possa fare disponendo di una rete botnet e' evidente; dallo spamming al phishing, dall' hosting alla distribuzione di malware utilizzando le infrastrutture in affitto, fino a casi di spionaggio aziendale.

Come si vede dal whois il sito e' regitrato presso un provider turco gia' noto per casi di spamming, phising di siti di banche ecc...

Rbnexploit.blogspot.com evidenzia che se si esegue un lookup dettagliato del sito in questione si arriva pero' a due range AS30315 and AS31898 che sono due domains ranges appartenenti a Resellerclub and Logic Boxes, gestiti da Directi.com, che e' un provider basato in India.

Poiche', continua rbnexploitblog il sito che ospita l'affitto della botnet e' sinonimo di RBN si deduce che ci troveremmo di fronte ad un collegamento del tipo RBN -> AbdAllah_Internet (Turchia) -> Directi.com (India) che dimostrerebbe l'utilizzo attuale da parte di RBN di host locati nei due paesi asiatici.

Edgar

Cross Site Scripting (XSS)

Scrivo qualche riga al riguardo del Cross Site Scripting (XSS) poiche' pare che nonostante se ne parli da tempo, anche molti siti italiani, soffrano di questa vulnerabilita' che tuttora non e' stata risolta.
Una vulnerabilita’ XSS (Cross Site Scripting) consiste nell'inserire codice a livello browser (spesso codice javascript pericoloso) al fine di modificare il codice sorgente della pagina web visitata per effettuare operazioni che possono andare dalla semplice visualizzazione di una finestra di alert (come vedremo negli esempi ) sino a operazioni malevoli quali il redirect su altro sito ed il prelievo di cookies privati.
La vulnerabilita' in realta' non e' attribuibile al server su cui e' hostato il sito ma si tratta solamente di una conseguenza di cattiva programmazione dell’input dati presente sulla pagina che non viene controllato a sufficienza.
Uno degli esempi piu' semplici di vulnerabilita' XSS e' quello dell'inserimento in un campo di ricerca del codice javascript che fara' visualizzare al browser una textbox sulla pagina.
Con script piu complessi e' possibile anche inserire un redirect ad altro sito.
Dopo questa brevissima premessa vediamo alcuni esempi concreti che, alla data del 12 ottobre 07, erano tutti verificabili e ripetibili.
Per questioni di sicurezza non visualizzero' lo script ma solo lo screen risultante dall'esecuzione dello script XSS
Si tratta di alcuni siti istituzionali dell'Amministrazione Pubblica dello Stato Italiano
Per maggiori delucidazioni al riguardo degli script XSS segnalo questo sito http://www.xssed.com/ che contiene un database di vulnerabilita' XSS aggiornato in continuazione e dal quale ho tratto spunto per questi esempi.

Esempio 1
Ministero Economia e Finanze

Esempio 2
Ministero Innovazione Tecnologica
Il commento sarebbe ovvio ........


Esempio 3
Italia Gov.IT (il portale Nazionale del cittadino)

Esempio 4
Ministero dei Trasporti



Tutti questi siti, rispondono ad uno script inserito nei campi di ricerca con un textbox di cui possiamo personalizzarne a piacere il contenuto.
La cosa in se stessa potrebbe non avere nessun utilizzo pratico ma cosa succederebbe se ad esempio:

1) viene creata da malintenzionati una email con un testo che invita a visitare uno di questi siti

2) il link sulla mail contiene l'url al sito che incorpora lo script XSS

3) come si visita il sito appare un messaggio sul genere 'SARETE TRASFERITI SU UNA PAGINA SICURA DEL MINISTERO .... PER ..."
.
4) viene eseguito un redirect su una falsa pagina che simula perfettamente quella del sito di partenza....

Chi non e' molto attento penserebbe di essere veramente sulla pagina ufficiale e non su una pagina di phishing con tutte le conseguenze negative del caso.

Mi pare che la correzione di questo problema che interessa i siti visti sopra non guasterebbe perche', anche se sino ad ora non sono state sfruttate queste vulnerabilita' da parte di malintenzionati, non si puo' essere certi che nessuno in futuro possa provarci.

Inoltre anche l'immagine di chi amministra questi siti non ne esce molto bene poiche' si presume che chi mantiene un sito di questa importanza debba avere la conoscenza tecnica atta a garantirne la sicurezza .

C'e' infine da ricordare che siti con problemi come questi ce ne sono migliaia sulla rete e come la pericolosita' di un XSS aumenti enormemente quando ad avere questa vulnerabilita' siano ad esempio siti di banche o e-commerce.

Edgar

Aggiornamento phishing

Ricevute altre nuove due mail di phishing rispettivamente da Poste Italiane e da Banca di Roma.
Per quanto si riferisce a Banca di Roma la mail chiede di verificare il conto dato che ci sono stati accessi da paese straniero.

A parte il solito falso sito che riproduce la homepage della banca, c'e' da rilevare che si e' cercato di dare al dominio fasullo una parvenza di autenticita' utilizzando il nome http://bancorome.com/www.bancaroma.it/login.html tentando di ingannare il visitatore del sito. Il whois punta a un provider USA.

La mail di Poste Italiane questa volta annuncia un accredito omaggio che verra' attivato quando ci connetteremo al nostro account sul sito di Poste It.


Il sito di phishing questa volta e' situato in Mozambico.

come si vede anche dal link che appare nella mail http://webmail.ipci.co.mz/poste.it/

Da quanto si vede, in particolare per il phishing di Poste It., sembra che codici e istruzioni per attivare un sito fasullo per cercare di acquisire i dati riservati di chi lo visita siano a disposizione un po di tutti.
Comunque la pericolosita' di questi siti, almeno per ora, non pare molto alta in quanto non sembrano supportati da quelle notevoli ondate di mails di spam a cui ci eravamo abituati in passato.

Aggiornamento 12/11
A quanto pare avevo scritto troppo presto che lo spam di phishing era costituito da poche mails a settimana, dato che, relativamente a Banca di Roma sono arrivate altre 2 mails a poca distanza di tempo.
L'ultima arrivata e' interessante in quanto , oltre ad aver cambiato il testo, rispetto alle precedenti ed aver aggiunto il logo della Banca di Roma sul messaggio presenta anche un diverso modo di linkare al falso sito della Banca di Roma.

Come si vede dallo screenshot c'e' un redirect tramite AOL invece che il link diretto al sito di phishing.



Edgar

Aggiornamento Myspace

Per quanto si riferisce al malware scaricato dalle pagine hackerate su Myspace si tratta di una pagina contenente un falso codec video.

Sottoposto a Virus Total il codice malevolo viene visto come

File VideoAccessCodecInstall.exe received on 11.10.2007 08:59:04 (CET)
Antivirus	Version	Last Update	Result
AhnLab-V3	2007.11.10.0	2007.11.09	-
AntiVir	7.6.0.34	2007.11.09	DR/Zlob.Gen
Authentium	4.93.8	2007.11.10	-
Avast	4.7.1074.0	2007.11.09	-
AVG	7.5.0.503	2007.11.09	Downloader.Zlob
BitDefender	7.2	2007.11.10	-
CAT-QuickHeal	9.00	2007.11.09	TrojanDownloader.Zlob.gen
ClamAV	0.91.2	2007.11.10	Trojan.Dropper-2557
DrWeb	4.44.0.09170	2007.11.09	-
eSafe	7.0.15.0	2007.11.08	-
eTrust-Vet	31.2.5284	2007.11.09	-
Ewido	4.0	2007.11.09	-
FileAdvisor	1	2007.11.10	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.4.2.54	2007.11.09	-
F-Secure	6.70.13030.0	2007.11.09	W32/Zlob.ARDM
Ikarus	T3.1.1.12	2007.11.10	-
Kaspersky	7.0.0.125	2007.11.10	-
McAfee	5160	2007.11.09	-
Microsoft	1.3007	2007.11.10	TrojanDownloader:Win32/Zlob
NOD32v2	2651	2007.11.10	-
Norman	5.80.02	2007.11.09	W32/Zlob.ARDM
Panda	9.0.0.4	2007.11.10	-
Prevx1	V2	2007.11.10	-
Rising	20.17.42.00	2007.11.10	Trojan.DL.Win32.Zlob.def
Sophos	4.23.0	2007.11.10	Troj/Zlobar-Fam
Sunbelt	2.2.907.0	2007.11.09	-
Symantec	10	2007.11.10	-
TheHacker	6.2.9.122	2007.11.09	-
VBA32	3.12.2.4	2007.11.08	-
VirusBuster	4.3.26:9	2007.11.10	-
Webwasher-Gateway	6.0.1	2007.11.10	Trojan.Zlob.Gen
Additional information
File size: 114115 bytes
MD5: 4e80dbec3f5443397992f74c9b39b05b
SHA1: cdc2bda645b287a3c3c5736a8efc4722efbd80f8

Filtrando il report per soli positivi rilevati abbiamo:

File VideoAccessCodecInstall.exe received on 11.10.2007 08:59:04 (CET)
Antivirus	Version	Last Update	Result
AntiVir	7.6.0.34	2007.11.09	DR/Zlob.Gen
AVG	7.5.0.503	2007.11.09	Downloader.Zlob
CAT-QuickHeal	9.00	2007.11.09	TrojanDownloader.Zlob.gen
ClamAV	0.91.2	2007.11.10	Trojan.Dropper-2557
F-Secure	6.70.13030.0	2007.11.09	W32/Zlob.ARDM
Microsoft	1.3007	2007.11.10	TrojanDownloader:Win32/Zlob
Norman	5.80.02	2007.11.09	W32/Zlob.ARDM
Rising	20.17.42.00	2007.11.10	Trojan.DL.Win32.Zlob.def
Sophos	4.23.0	2007.11.10	Troj/Zlobar-Fam
Webwasher-Gateway	6.0.1	2007.11.10	Trojan.Zlob.Gen
Additional information
File size: 114115 bytes
MD5: 4e80dbec3f5443397992f74c9b39b05b
SHA1: cdc2bda645b287a3c3c5736a8efc4722efbd80f8

Ritornando alla pagina con il falso player video questa presenta inoltre un riferimento ad altra pagina che a sua volta linka dopo alcuni passaggi ad altro codice malevolo.

La pagina Myspace di Alicia Keys invece sembra essere stata bonificata dal link al sito acilot.cn.
La cache di Google invece propone ancora la vecchia pagina con il link.

Anche in questo caso per caricare la pagina linkata occorre passare il referer del sito myspace al browser che carica acilot.cn. In caso contrario si riceve messaggio 404 dal server.
Inoltre se si tenta di caricare la pagina acilot.cn piu' di una volta dopo la prima si viene reindirizzati su myspace.

Edgar

Aggiornamento storm worm

Ricorderete sicuramente la pagina 'Lo scheletro danzante” (download the dancing skeleton" ) proposta dalla rete storm worm in occasione della festa di Halloween, pagina che faceva scaricare il malware halloween.exe.
Al momento la pagina e' ancora presente in rete sui soliti domini che fanno capo alla rete botnet di storm worm.
Ci sono pero' alcune differenze.
Vediamo ad esempio la pagina presente al dominio ptowl.com
La prima variazione , facilmente spiegabile, e' l'aggiornamento del nome del file malware che adesso prende il nome di dancer.exe.
L'analisi con virus total mostra che si e' passati dal 72% di riconoscimento con il vecchio file halloween.exe ad un 50% attuale.
Una seconda differenza e' che il file javascript offuscato non risulta piu' presente, almeno al momento in cui ho visionato il sito.
C'e' poi una variazione sul layout della pagina che risulta pero' di difficile comprensione.
Andando a visionare in dettaglio la videata della pagina si nota, con firefox, in alto a sinistra un piccolissimo punto.


In realta' si tratta di un iframe nascosto
Andando ad usare l'opzione presente nella developper toolbar di firefox "small screen rendering" ecco quello che appare


Praticamente la pagina sembra composta da due iframe di cui uno (nascosto) e' la pagina di google ed uno e' la pagina di halloween.
Anche da un comando outline si vede che la pagina comprende i 2 frame.

Ho ricevuto da GMG la spiegazione alla presenza di questo strano iframe di google assieme alla pagina di storm worm.

GMG scrive:

L' iframe scarica uno script offuscato che fa scaricare un altro script offuscato con vari exploit.

L' offuscamento è complesso (usal la funzione (arguments.callee)
http://isc.sans.org/diary.html?storyid=3219

Per scaricare il secondo script bisogna usare il primo come referer, inoltre funziona solo con ie ed ha un controllo sull'ip per non essere eseguito più volte altrimenti mostra l'homepage di google.
Il file scaricato è un rootkit che fa scaricare il file sony.exe dallo stesso sito.

Come si vede hanno aumentato la complessita' del codice pericoloso in maniera notevole rispetto al semplice script offuscato usato in precedenza.

La spiegazione del fatto che vedevo la pagina di google e non il codice javascript nel secondo iframe e' dovuta al fatto che, avendo visitato piu' volte il dominio ptowl.com, il mio IP e' stato registrato dal sito e quindi se ptowl.com rileva lo stesso Ip piu' di una volta visualizza l'iframe con la pagina di google e non l'iframe con il codice javascript offuscato.

Edgar

MySpace Hacked, Exploits

Ultimamente Myspace sta diventando un vero colabrodo per il numero di pagine hackerate presenti.

Vediamone una delle tante.
Si tratta della pagina Myspace della nota cantante statunitense Alicia Keys


Il sistema adottato per far scaricare malware e' leggermente diverso dai soliti.
In questo caso chi ha compromesso la pagina ha creato una immagine di sfondo che comprende praticamente le dimensioni intere della pagina e ha linkato il file di sfondo al sito acilot.cn da dove scarica sia l'immagine di sfondo ma anche si tenta di scaricare malware.


Chi visita la pagina Myspace e clicca in un punto qualsiasi della stessa viene reindirizzato sul sito .cn.
Per essendo un dominio .cn il whois punta a



Al momento il link sembrerebbe non funzionare.

Un'altro esempio con lo stesso sistema ma che punta a differente server, sempre .cn


con un whois in Germania


Edgar

Ancora phishing .

Ricevute due mail di phishing rispettivamente da Poste Italiane e da Banca di Roma.

Per quanto si riferisce a Poste Italiane anche se la falsa mail presenta il solito messaggio

il link presente non e' attivo. Tra l'altro, contrariamente a quanto finora visto, il server utilizzato e' situato in Francia.
Andando sulla root del server non si trova il percorso valido indicato nel link presente sulla mail segno che, o e' stato cancellato oppure addirittura non e' mai stato creato.

Il server in questione ospita pochi siti relativi ad attivita' turistiche della Costa Azzurra.

La seconda falsa mail relativa a Banca di Roma risulta invece avere un link tuttora attivo.

Il whois del server punta agli USA

Il link contiene la falsa pagina del sito della Banca e dopo le solite richieste di codici riporta al sito originale della Banca di Roma.

C'e' da notare che, per chi usa OpenDNS, l'indirizzo viene preventivamente bloccato in quanto visto come provenire da sito di phishing.

L'unico appunto che posso fare a OpenDNS e' che agisce in modo abbastanza drastico , senza permettere a chi volesse, di proseguire nella visione del sito bloccato ma proponendo un form di segnalazione circa l'attendibilità del sito.

Edgar

Bankpass Web con problemi ?

Punto Informatico riporta la notizia che Bankpass Web, il sito che come dice la pubblicita ' Scopri BANKPASS Web, il sistema sicuro per il tuo shopping on-line" dovrebbe garantire la sicurezza delle operazioni di e-commerce presenterebbe una pagina presumibilmente hackerata.
Sul sito italiano di BankPass in effetti compaiono nelle news alcune scritte che fanno pensare ad un hacking , almeno in parte, delle pagine web.

Come si legge su PI "...... l'ultima pubblicazione nell'area news risale a fine 2004, tre anni fa, segno che si tratta con ogni probabilità di un'area assai poco frequentata tanto dagli utenti quanto dagli admin. Non si può quindi escludere che chi ha sostituito quei titoli lo abbia fatto già da lungo tempo. ......."
Il sito nella versione inglese non presenta invece questi problemi.
Probabilmente si tratta solo della modifica di alcune pagine e non di un vero e proprio hacking del sito ma lascia comunque perplessi la notizia che, interpellati da punto Informatico, i responsabili del sito abbiano detto tra l'altro " ..... che del problema il Comitato è al corrente ma che, al momento, il responsabile non è reperibile"

Edgar

Russian Business Network (RBN) servers OFF ?!

TrendsLab Malware blog riporta una news che se fosse confermata sarebbe veramente interessante.
Pare che da ieri alle 7 PM PST (PST: Pacific Standard Time (USA & Canada)) gli indirizzi IP di RBN non sono piu' raggiungibili per assenza di routing.
Potrebbe essere che il provider che ha fornito a RBN la connettività Internet abbia terminato i il servizio ai loro clienti, temporaneamente o si spera, in modo permanente.
Trend Micro continuerà a monitorare attentamente se RBN rimane down.
Con RBN che, attualmente, non ha alcuna connettività Internet il Web è un luogo un po piu' sicuro.
Purtroppo, questo, anche se fosse vero, potrebbe non durare a lungo; RBN puo' trovare altri fornitori di connettivita'.
Nelle ultime settimane, inoltre, Trend Micro ha visto equivalenti di RBN in Turchia e Taiwan.
Questi provider di servizi di hosting sembrano avere lo stesso tipo di base di clienti, come RBN. Così, anche se RBN fosse fuori gioco in maniera permanente, i suoi clienti potrebbero trovare una nuova casa presto.
TrendLabs continua anche un attento monitoraggio delle attività delle nuove nuove reti.

Aggiornamento

Brian Krebs di Security Fix @ Washinton Post avanza l'ipotesi che questo offline potrebbe significare che RBN starebbe rilocando i suoi server in Cina.

Anche da quanto si legge su Spamhaus "Russian Business Network - The Russians go "Chinese" sembrerebbe che ci siano indicazioni in tal senso.

Edgar

yl18.net mass defacement

Da alcune news apparse in rete sembrerebbe che migliaia di siti (si parla di 40.000 pagine) sarebbero stati compromessi recentemente da una injection di codice javascript malevolo.
Lo script = "hXXp: / / yl 18.net/0.js" farebbe puntare le pagine al sito yl18.net.
Questo il banner del sito

con whois

Lo script caricherebbe una pagina contenente diversi componenti Iframe nascosti con exploit specifico a seconda dei browser utilizzato.

In effetti se andiamo a ricercare con Google la stringa di testo script_src = hxxp: // www.yl18.net/0.js troviamo centinaia di riferimenti a siti che presumibilmente contengono o contenevano lo script malevolo.

Proviamo a vedere cosa succede caricando lo script dal sito yl 18.net


Come si vede viene caricata la pagina 0.html dal server che ospita yl18.

Questa pagina contiene a sua volta un completo assortimento di exploits a seconda del browser usato.
Questi sono i differenti iframe con i codici 'personalizzati'.

Provando a scaricare un eseguibile esempio dal codice per Opera browser abbiamo un file riconosciuto in parte come trojan psw win32 online games

La copertura degli antivirus in lista Virus Total e' di circa il 50%.
Dovrebbe trattarsi di un trojan che cerca di catturare password usate in giochi online.
Presumo che altri eseguibili simili a questo vengano scaricati dagli altri exploits presenti e programmati per sfruttare le vulnerabilita' dei diversi browser.

Il prblema di questi attacchi e' evidente se si pensa che nonostante gli sforzi per ridurre le vulnerabilita' di server che ospitano siti web, il numero di pagine compromesse aumenta costantemente.

Al momento il dominio yl18.net risulta on line e continua ad hostare anche lo script pericoloso mentre alcune pagine che ho visitato e che google riporta come compromesse sembrerebbero essere state bonificate. (si puo solo trovare lo script esaminando il sorgente delle pagine contenute nella cache di google).

Edgar

Apple closes seven critical vulnerabilities in QuickTime

Apple ha rilasciato QuickTime 7.3 che ripara 7 vulnerabilta' presenti sul noto player.
Si tratta di vulnerabilita' di heap overflows che permettono il trasferimento e l'esecuzione di codice malevolo in memoria, problemi riscontrati con la riproduzione di immagini in formato PICT e problemi di handling di applet java che potevano compromettere il sitema di chi visitava siti creati appositamente per questo scopo.
L'aggiornamento e' disponibile a questo link per Mac OS X v10.3.9, Mac OS X v10.4.9, Mac OS X v10.5, Windows Vista and Windows XP SP2.

Edgar

Pochi ma pericolosi

Ultimamente si e' assistito ad un proliferare di siti che propongono falso software contenente malware.
I generi piu utilizzati per queste false pagine sono siti con contenuti per adulti, siti di applicazioni multimediali, giochi, addons per mails o messengers,falsi motori di ricerca e software per pc.
All'indirizzo ip che vediamo nel whois qui sotto esiste un bellissimo esempio di tutto questo attraverso un numero limitato di siti ( una decina) che presentano pero' pagine con una grafica degna di siti professionali.

Siamo ben lontani dalle pagine scarne di contenuti e con layout 'artigianale' che venivano proposte solo qualche tempo fa.
Si tratta di siti tutti recenti e con un assortimento di malware dei piu' vari e poco rilevato dai programmi antivirus .

Vediamo qualche esempio:

WMP (Web Media Player)

Analogia del nome con Windows Media Player
Sito con grafica curata e pagine di faqs, note legali, ecc...
Scarica attraverso il file webmediaplayer_setup. Exe un trojan malware definito come Trojan Dropper W32, solo un 40% degli antivirus in lista virus total rileva il pericolo.

Messenger skinner

Sito che propone un programma che installa skin e smiles per il Live Messenger Microsoft.
Anche qui la grafica e il layout sono ben curati.
Scarica attraverso il file messangerskinner.exe un trojan malware rilevato solo dal 34% degli antivirus in lista Virus total

Games Desktop

Propone games di tutti i tipi , sfondi, salvaschermo ed altro chiaramente tutti con la sorpresa malware.
Provando esempio a scaricare il gioco del Bowling proposto come primo nella lista dei giochi Top abbiamo una falsa schermata di caricamento plugin

con download sul pc di un file .cab contenente il trojan downloader w32.wintrim visto questa volta da una buona percentuale di antivirus ma comunque non da tutti quelli in lista Virus Total.

Go Astro

Analogia del nome con il sito di oroscopi online www.goastro.co.uk
Pagina di oroscopo online, ben curata, con effetti di grafica al passaggio del mouse sui segni zodiacali.
Scarica sul pc cliccando praticamente su qualunque immagine presente nella pagina, il trojan w renos o qualcosa di similare visto che solo il 28 % degli antivirus individua il pericolo.


Go record

Sito che propone un software per ascoltare musica e radio in streaming audio
Grafica ben curata con pagina di download e che scarica sul pc un file Go_record_setup.exe contenente malware similare al sito GO Astro.

Mail Skinner

Sito di smiles da aggiungere alle nostre mails
Scarica malware sotto forma di file eseguibile Trojan.dropper.w32; percentuale bassa di positivi al controllo con Virus Total.

ZappingTv e LastSoftware si distinguono invece per esere due siti che propongono un un dialer.


Sudo Planet

Propone il gioco del sudoku da installare attraverso il download del file sudoko.exe
Contenuto del file eseguibile e' il trojan dropper.w32 riconosciuto solo dal 32% degli antivirus in Virus Total.

Questa la serie dei files eseguibili scaricati dalle diverse pagine con le relative icone

Ci troviamo di fronte come si vede a siti molto curati nell'impostazione grafica e molto recenti come creazione e quindi anche il contenuto malevolo risulta poco rilevato da molti dei software presenti nella lista di virus total.

Il consiglio e'. come sempre, prima di scaricare files eseguibili da siti poco conosciuti, verificare bene l'attendibilita' del sito ed il contenuto del file onde evitare spiacevoli sorprese al momento dell'esecuzione del programma.

Edgar

Il range IP 194.242.61.1.....254 Tante conferme e alcune sorprese

Visti i risultati della scansione dell IP 194.242.61.188 di cui scrivo nel post precedente ho deciso di effettuare una scansione totale del range IP compreso tra 194.242.61.1 e .254 utilizzando il mio tool webscanner che ha permesso in qualche ora di verificare un numero di siti che manualmente sarebbe stato impossibile.
I risultati sono stati la conferma della presenza di decine di siti contenenti il vecchio script offuscato che punta a IP 81.95.148.42 ora inattivo ma anche qualche sorpresa.
Intanto occorre dire che la scansione ha interessato un totale di oltre 6540 siti nei quali e' stata ricercata la stringa ' unescape' e la stringa 'iframe'.
I siti con presente il codice javascript offuscato che punta all' IP 81.95.148.42 sono circa 200; molti sembrerebbero tuttora attivi ed aggiornati, e non risulta facile stabilire la data di quando il codice sia stato aggiunto al sorgente della pagina.
L elenco sotto forma di file txt e' scaricabile da qui.
L'assortimento dei siti e' dei piu' vari e comprende anche siti istituzionali di Comuni italiani.
Quello che lascia perplessi e' l'assenza completa di una gestione di questi siti dal punto di vista della sicurezza, sembra che siamo di fronte a siti che una volta creati non siano piu' stati aggiornati o mantenuti nel codice.
Questo pero' non e' vero, se si visita, ad un esempio, il sito del Comune di Villaga ( www.comunevillaga.vi.it), riporta notizie di bandi di gara scadenti a ottobre, e quindi si dovrebbe trattare di sito aggiornato.
Viene da pensare che chi aggiorna il sito sia completamente all'oscuro dell'esistenza di javascript , di cosa siano o di quello che possono significare a livello di sicurezza per chi visita un sito compromesso, e questo e' tanto piu' grave in quanto si tratta di siti di Enti Pubblici.

Se poi volete vedere una cosa divertente , andate, sempre con le precauzioni del caso, a visitare il sito del Comune di Cerreto Asti ( www.comune.cerreto.asti.it ) .
Quando si entra sul sito, che contiene il codice javascript offuscato pericoloso, si viene sollecitati ad attivare l'esecuzione dei codici javascript..... visto che in caso contrario non si potra' visualizzare la pagina facendo di conseguenza anche un bel favore ai creatori del javascript malevolo.

Adesso la sorpresa.
Sono risultati presenti questi siti:

vvv.applidea.it .txt (2 KB, 16/09/2007 21:25:36)
vvv.audiodigitale.net .txt (22 KB, 21/09/2007 22:31:57)
vvv.lasocietadelprogetto.com .txt (3 KB, 16/09/2007 18:11:42)
vvv.oliversguy.com .txt (2 KB, 16/09/2007 16:27:18)
vvv.omatplastic.com .txt (6 KB, 16/09/2007 21:39:54)
vvvw.omatplastic.it .txt (6 KB, 16/09/2007 21:39:54)
vvv.orodesign.com .txt (4 KB, 16/09/2007 16:25:50)
vvv.pce.it .txt (14 KB, 27/09/2007 13:30:45)
vvv.tani.it .txt (5 KB, 16/09/2007 18:10:39)


con all'interno un codice java offuscato differente da quello che sino ad ora si trovava nei siti compromessi in questi ranges IP

Questo e' il codice

e questa e' la decodifica


si tratta, come si vede di qualcosa di nuovo rispetto ai codici precedenti

lipocnt.com ad un whois rivela

Domain Name: LIPOCNT.COM Registrar: ESTDOMAINS, INC. Whois Server: whois.estdomains.com Referral URL: http://www.estdomains.com Name Server: NS1.LIPOCNT.COM Name Server: NS2.LIPOCNT.COM

Sicuramente questo javascript e' qualcosa di nuovo rispetto a quanto visto in precedenti scansioni con webscanner.
Se inoltre esaminiamo le date dei sources scaricati vediamo che sono tutte comprese tra 16/9 e 27/9 e questo potrebbe significare che lo script e' stato aggiunto al codice della pagina in quel periodo.

Inoltre sono risultati presenti questi siti:

vvv.bolognaeros.it .txt (4 KB, 03/05/2007 16:44:41)
vvv.bubanet.it .txt (10 KB, 05/11/2007 10:19:08)
vvv.casacaminetto.com .txt (8 KB, 03/05/2007 20:31:20)
vvv.centralboxitalia.com .txt (4 KB, 03/05/2007 20:26:09)
vvv.centralfluid.it .txt (3 KB, 03/05/2007 20:23:56)
vvv.charmecv.com .txt (14 KB, 05/11/2007 10:18:31)
vvv.ediltecnodistribuzione.it .txt (7 KB, 03/05/2007 20:30:35)
vvv.federicibb.it .txt (4 KB, 17/10/2007 15:10:37)
vvv.fitconsulting.it .txt (6 KB, 03/05/2007 20:25:55)
vvv.giannicasti.com .txt (4 KB, 03/05/2007 20:27:42)
vvv.gielle.org .txt (12 KB, 03/05/2007 20:25:08)
vvv.giovannagranno.it .txt (5 KB, 03/05/2007 20:26:09)
vvv.lanuovamodisteria.it .txt (2 KB, 03/05/2007 20:30:19)
vvv.levankim.it .txt (7 KB, 03/05/2007 19:11:54)
vvv.malditasociedad.it .txt (11 KB, 03/05/2007 20:33:15)
vvv.marcomodernariato.com .txt (4 KB, 03/05/2007 20:30:39)
vvvw.materieprime.com .txt (2 KB, 03/05/2007 20:31:41)
vvv.mattsicchieri.com .txt (13 KB, 03/05/2007 20:26:11)
vvv.nicoli.com .txt (3 KB, 03/05/2007 20:32:06)
vvv.orientalcaffe.com .txt (3 KB, 03/05/2007 20:34:08)
vvv.piramideverde.com .txt (4 KB, 05/05/2007 18:01:47)
vvv.rehamedical.it .txt (5 KB, 03/05/2007 20:32:45)
vvv.rtncollect.org .txt (10 KB, 03/05/2007 20:32:44)
vvv.selcod.it .txt (11 KB, 03/05/2007 20:30:53)
vvv.srlsistema.it .txt (11 KB, 03/05/2007 18:15:32)
vvv.stangalinocostruzioni.it .txt (19 KB, 03/05/2007 20:22:48)
vvv.turin-gallery.com .txt (11 KB, 03/05/2007 18:38:38)
vvv.vezzola.it .txt (4 KB, 03/05/2007 20:34:02)
vvv.vittoelaborazioni.com .txt (6 KB, 03/05/2007 19:19:34)
vvv.vittoelaborazioni.it .txt (6 KB, 03/05/2007 19:19:34)

con all'interno codice offuscato che punta, a differenza del precedente a suvcnt.com (al momento un whois lo da' come sospeso)


Ci troviamo quindi di fronte a vecchi script offuscati ma anche ad un certo numero di nuovi, e cosa particolare, sembrerebbero stati inseriti nelle pagine abbastanza di recente.

Altri siti, esempio vvv.montimartani.it hanno sempre un codice javascript offuscato che punta invece a

Sembra quindi evidente che non solo questo server che hosta siti web compresi nel range IP 194.242.61.1 e .254 ospita ancora un numero rilevante di siti compromessi da codice javascript al momento inattivo, ma addirittura ci sia sempre la sorpresa di trovare nuovi script che appaiono anche a distanza di tempo dal noto attacco informatico della scorsa primavera.

Edgar

IP 194.242.61.188

A distanza di tempo ho voluto ripetere la scansione di un indirizzo IP appartenente ad un server della societa' fiorentina Hosting Solutions compromesso da javascripts offuscati nel periodo maggio, giugno e che avevo gia' verificato nuovamente a settembre.
Normalmente ci si aspetterebbe che il numero dei siti con problemi malware decresca con il passare del tempo, ma in questo specifico caso, considerando anche un solo IP, le cose vanno diversamente.
Questi i risultati della scansione eseguita con il tool webscanner:

il report di luglio:
---------------------------------------------------------
Num. 60 SITES at IP 194.242.61.188 con javascript offuscato

il report di settembre dello stesso IP
--------------------------------------------------------
Num. 56 SITES at IP 194.242.61.188 con javascript offuscato

e questi sono i risultati della scansione eseguita il 4 novembre
----------------------------------------------------------------
Num. 96 SITES at IP 194.242.61.188 con javascript offuscato

Come si puo' notare a distanza di tempo il numero dei siti con javascript offuscato invece di diminuire e' aumentato.
Questo appare ancora piu' strano se si considera che attualmente il server che distribuiva malware all'indirizzo IP 81.95.148.42 , indirizzo ottenuto deoffuscando lo script presente nelle pagine, e' ormai inattivo da molto tempo.
Sarebbe quindi da escludere che ci siano dei nuovi tentativi da parte di chi aveva compromesso questi siti, di colpirne di nuovi su questo server.
Nel report di webscanner appaiono pero' nomi di siti che precedentemente non erano presenti, come ad esempio vvv.cebip.com

Home page del sito cebip.com

che tra l'altro ha sulla pagina un riferimento alla data del 3 novembre 2007 e quindi non si puo' neanche considerare come sito non aggiornato o inattivo.

Un altro esempio e' vvv.exateam.it che visualizza sulla home riferimenti a date recenti e quindi presumibilmente attivo e mantenuto aggiornato.

Home page del sito exateam.it

Una prima considerazione da fare' e' come sia possibile che chi si occupa di questi siti, tuttora on line e aggiornati , non riesca a eliminare dal codice un semplice codice javascript.

Source pagina vvv.exateam.it

Inoltre e' anche strano dare una spiegazione al numero di queste pagine contenenti malware che costantemente aumenta con il passare del tempo come se esistesse un qualche sistema che periodicamente infetta i codici anche se vengono bonificati.

C'e' solo da sperare, ma non ne esiste la certezza, che il server a cui linkavano gli script java rimanga inattivo perche' in caso contrario queste pagine ritornerebbero a ridistribuire malware o links a siti pericolosi come nel mese di maggio quando c'era stato il noto attacco a server italiani.

Questo e' il report ottenuto da webscanner relativo all'indirizzo IP 194.242.61.188 citato nel post:

----------------------------------------------------------------
vvv.solaris.it
vvv.tapematic.it
vvv.jwtitalia.it
vvv.nessimajocchi.it
vvv.ticonzeroassociazione.it
vvv.polenghigroup.it
vvv.duepuntiapertevirgolette.it
vvv.espressoitaliano.org
vvv.nationalgalleryfirenze.it
vvv.filevideo.it
vvv.alohaclub.it
vvv.umb-utensileria.it
vvv.cantinedamilano.it
vvv.gilasrecords.it
vvv.groovemasteredition.com
vvv.visusottica.com
vvv.casevacanze-initaly.com
vvv.bb-opera.com
vvv.villafragenea.it
vvv.tigertaekwondo.it
vvv.cooperativaarchimede.it
vvv.vidalaser.com
vvv.divinarivelazione.org
vvv.ostelloriva.com
vvv.poletticentrocopia.it
vvv.lavage.it
vvv.sinergiesrl.org
vvv.alrifugio.com
vvv.nerosubianco.org
vvv.freerideparadise.it
vvv.3emme.com
vvv.raviproductions.com
vvv.deplano.it
vvv.irsina.net
vvv.casedicutalia.it
vvv.hotel-fiori.com
vvv.bindistones.com
vvv.bresciagolf.com
vvv.ordineveterinari.pg.it
vvv.bottegadartetoscana.it
vvv.irri.it
vvv.zonatex.net
vvv.cebip.com
vvv.lampedusalastminute.it
vvv.arcierivirtusaltogarda.it
vvv.ottonidarte.com
vvv.dataease.it
vvv.atnimpianti.it
vvv.newsail.it
vvv.exateam.it
vvv.frescolatte.it
vvv.sviluppoeambiente.it
vvv.robertocavallo.it
vvv.ghiglia.it
vvv.antichierari.com
vvv.mazzonimoto.it
vvv.olimpiaonline.com
vvv.concessionarivolvotrucks.it
vvv.ostelloriva.it
vvv.sviluppoeambiente.it
vvv.cicloverdi.it
vvv.mazzonimoto.it
vvv.robertocavallo.it
vvv.ghiglia.it
vvv.moncini-industrie.com
vvv.leadersnc.com
vvv.concessionarivolvotrucks.it
vvv.neurochirurgiaoncologica.it
vvv.ilgrandecarro.org
vvv.sgc-italia.it
vvv.mondanita.it
vvv.baldorappresentanze.it
vvv.frescolatte.it
vvv.ostelloriva.it
vvv.sviluppoeambiente.it
vvv.cicloverdi.it
vvv.mazzonimoto.it
vvv.robertocavallo.it
vvv.ghiglia.it
vvv.moncini-industrie.com
vvv.ferrosport.it
vvv.allecottarze.it
vvv.leadersnc.com
vvv.concessionarivolvotrucks.it
vvv.terrasalento.it
vvv.neurochirurgiaoncologica.it
vvv.danzapersempre.it
vvv.alessandrocereda.net
vvv.ilgrandecarro.org
vvv.pcsprint.it
vvv.actionbikeworld.com
vvv.mentorweb.it
vvv.miralagonemi.it
vvv.daveriopallets.it
vvv.mjay.it
vvv.tessituragiaquinto.com
----------------------------------------------------------------
Num. 96 SITES at IP 194.242.61.188
==================================

Aggiornamento

GMG mi segnala che nella lista sonopresenti alcuni duplicati ed alcuni siti risultano nell'elenco pur risultando puliti; in effetti quando ho usato il tool ho cercato le occorrenze della stringa 'unescape' e qualche sito presenta l'istruzione java unescape nel sorgente utilizzata per scopi diversi da quello di decodificare un codice offuscato.
In ogni caso il numero di siti infetti si aggira sulle 69 unita' e come segnala GMG il sito vvv.aifr.it contiene un iframe con hxxp://ntkrnlpa.info/rc/?i=1 che scarica il file infector W32/Virut.

Aggiornamento 05/11/2007

Una ulteriore spiegazione del numero di siti con javascript offuscato che aumenta.
Forse non tutti i siti presenti su un unico IP vengono indicizzati subito dai motori di ricerca ma solo dopo un po di tempo da quando sono attivati e quindi siti presenti al momento dell'attacco e in cui e' stato inserito il codice java potrebbero comparire nella lista dopo settimane (o mesi ???) e non essere presenti subito nell'elenco di reverse IP ?????????.
Escludo invece che il sistema adottato da webscanner quando esegue il reverse IP tralasci un numero rilevante di pagine rispetto esempio al Reverse IP di SEOLOGS.COM in quanto da un test fatto Seolog rileva 342 websites with the IP 194.242.61.188 mentre webscanner ne rileva 385 SITES at IP 194.242.61.188 e considerando che potrebbero esserci duplicati sulla lista webscanner mi pare che i numeri si equivalgano.

Edgar

Falsi codec e plugin video sempre piu' diffusi

Continua la diffusione di codec video e falsi plugin da installare per poter visualizzare video disponibili online.
Proprio il recente Mac Trojan: OSX/RxPlug.A che si spaccia per QuickTime plugin ci conferma che l'utilizzo di questo sistema di diffusione del malware risulta sempre piu utilizzato.
In ambiente Windows abbiamo ormai migliaia di pagine che utilizzano questa modalita'.

Una delle tante attualmente on line la potete vedere in questo screenshot:


La pagina, come al solito ci propone video in streaming che per essere visti devono utilizzare un falso codec che non e' naturalmente presente sul pc.
Questo 'AcctiveX Video Codec', come viene definito nelle istruzioni all'installazione, naturalmente viene indicato compatibile con tutti i browser esistenti (IE, firefox, opera ecc...) per invogliare chi legge a scaricarlo.
Basta cliccare sul falso player che parte il download del file eseguibile media_codec_install_wizard.
Il file eseguibile, visto che si tratta di malware recente, al momento viene riconosciuto solo da parte degli antivirus presenti in virus total:



Un whois del sito punta a : Sponsoring Registrar:EstDomains, Inc. (R295-LRMS).

Bisogna sempre ricordare che i player video e audio piu' conosciuti, hanno un sistema automatico di ricerca e installazione del plugin o del codec necessario senza che ci venga richiesto di scaricare ed installare manualmente dei files eseguibili, come invece succede visitando questi siti.

Edgar

Error 404, ci pensa questo software...

La modifica degli indirizzi dei server DNS presenti sul computer si e' diffusa ultimamente come sistema utilizzato da molti malware.
Basti pensare che anche il recentissimo malware che colpisce macchine Apple, utilizza questo sistema.
Per chi invece, fortunatamente, non ha ancora avuto questo problema, abbiamo questo sito che ci propone, dopo averci elencato i vantaggi che ne derivano, di installare un piccolo eseguibile che pensera' per noi a modificare gli indirizzi DNS del nostro computer reindirizzando le nostre ricerche su un server DNS sito in Ucraina. (l'indirizzo ip range appartiene a Inhoster Hosting Company Ucraina )
Questa e la home page che ci illustra tutti i vantaggi (falsi) del caso....

e questo e' il report di virus total del file eseguibile setup.exe che dovremmo installare.
Complete scanning result of "setup.exe", processed in VirusTotal at 11/02/2007 03:00:44 (CET).

[ file data ]
* name: setup.exe
* size: 80605
* md5.: 1b0ca2a1f997572df01b432d044e0c6b
* sha1: 01745384a4ef1759ad34f26ad92040181de69bcb

[ scan result ]
AhnLab-V3 2007.11.2.0/20071102 found nothing
AntiVir 7.6.0.30/20071101 found [DR/DNSChanger.GX.293]
Authentium 4.93.8/20071101 found [is a destructive program]
Avast 4.7.1074.0/20071101 found [Win32:Trojan-gen {Other}]
AVG 7.5.0.503/20071101 found nothing
BitDefender 7.2/20071102 found [DeepScan:Generic.Zlob.7.D39603CF]
CAT-QuickHeal 9.00/20071101 found nothing
ClamAV 0.91.2/20071101 found [Trojan.DNSChanger-797]
DrWeb 4.44.0.09170/20071101 found [Trojan.DnsChange]
eSafe 7.0.15.0/20071028 found [Win32.DNSChanger.gx]
eTrust-Vet 31.2.5261/20071101 found nothing
Ewido 4.0/20071101 found [Downloader.QQHelper.ce]
F-Prot 4.3.2.48/20071101 found [W32/Trojan!4cda]
F-Secure 6.70.13030.0/20071102 found [Trojan.Win32.DNSChanger.gx]
FileAdvisor 1/20071102 found nothing
Fortinet 3.11.0.0/20071019 found [W32/DNSChanger.GX!tr]
Ikarus T3.1.1.12/20071102 found [Trojan.Win32.DNSChanger.gx]
Kaspersky 7.0.0.125/20071102 found [Trojan.Win32.DNSChanger.gx]
McAfee 5154/20071101 found nothing
Microsoft 1.2908/20071102 found [Trojan:Win32/Alureon.E]
NOD32v2 2632/20071101 found [a variant of Win32/DNSChanger]
Norman 5.80.02/20071102 found nothing
Panda 9.0.0.4/20071102 found [Trj/DNSChanger.OB]
Prevx1 V2/20071102 found nothing
Rising 20.16.32.00/20071102 found nothing
Sophos 4.23.0/20071101 found nothing
Sunbelt 2.2.907.0/20071031 found [Trojan.Win32.DNSChanger.gx]
Symantec 10/20071102 found [Trojan.Flush.G]
TheHacker 6.2.9.110/20071027 found nothing
VBA32 3.12.2.4/20071031 found [MalwareScope.Trojan.DnsChange.3]
VirusBuster 4.3.26:9/20071101 found nothing
Webwasher-Gateway 6.6.1/20071101 found [Trojan.DNSChanger.GX.293]

Non sorprende affatto che il file exe sia considerato un DNS changer visto che e' proprio quello che ci propone il sito.
La cosa , pero', piu interessante e' che vengono date le dettagliate istruzioni per modificare i DNS manualmente, anche senza bisogno di installare il software.

con il dettaglio dei valori da inserire.

E' vero che esistono servizi di server DNS che funzionano, penso ad esempio a OPEN DNS, il piu' conosciuto ed usato da milioni di utenti internet. Tanto per dare qualche cifra, i server OPEN DNS risolvono in un giorno quasi 3 miliardi di indirizzi.

Modificare invece gli indirizzi dei server DNS della nostra connessione internet con questi indirizzi di server locati in Ucraina e sotto indirizzo IP compreso nel range di Inhoster appare una scelta estremamente pericolosa e da evitare assolutamente.

Edgar

Disponibile aggiornamento Firefox 2.0.0.9

E' stato pubblicato l'aggiornamento alla versione 2.0.0.9

What's New in Firefox 2.0.0.9
Release Date:November 1, 2007
Stability Update: This release corrects several problems that were found in the previous release, Firefox 2.0.0.8.
Earlier Changes:For information about previous changes, please see the Firefox 2.0.0.8 Release Notes
Firefox 2 Features:For an overview, please see Firefox 2 Features.

Edgar