lunedì 30 giugno 2008

Nuove pagine su nuovi domini StormWorm

Apparsi in rete nuovi domini collegati alla botnet StormWorm.
Il tentativo di far scaricare il malware avviene sempre attraverso mails di spam che questa volta presentano un link ai nuovi domini StormWorm di cui vediamo un parziale elenco:

makinglovedirect(dot)com (usato per il test)
theloveparade(dot)com
latinlovesite(dot)com
lollypopycandy(dot)com
yourloveletter(dot)com
youronlinelove(dot)com

Come si vede i nomi sono del tutto simili a precedenti domini storm che gia' in passato hanno utilizzato il tema 'love' per tentare di far scaricare malware sul pc.

Vediamo in dettaglio come si presenta, ad esempio, la pagina makinglovedirect(dot)com



Sono presenti sia un banner animato con link al file eseguibile winner.exe di cui vediamo una analisi con Virus Total

che un link diretto al file eseguibile mylove.exe che Virus Total riporta come

Esaminando in dettaglio il sorgente della pagina

abbiamo la presenza di meta tags con parole chiave che riconducono al soggetto della mail ed inoltre come nella recente pagina storm la presenza di un iframe nascosto con codice offuscato che linka a codice php


contenente, come nelle recenti pagine StormWorm, una serie di exploits per colpire alcune vulnerabilita' presenti su diverse applicazioni player video ecc...

Il file php sottoposto a VT dimostra che alcuni softwares riescono ad identificare il codice come pericoloso.


La tecnica FastFlux sembra essere tornata a TTL (tempo di vita dello specifico IP associato al nome nella cache DNS dopo il quale l'indirizzo IP viene rinnovato) in linea con precedenti pagine StormWorm, a differenza dell'ultima volta in cui il TTL era stato allungato di parecchi minuti.

Per cercare di capire, la collocazione dei computer compromessi che fanno parte della Botnet ecco un report ottenuto con un semplicissimo script Autoit che esegue un whois di makinglovedirect(dot)com ad intervalli di 60 secondi (TTL della pagina che utilizza FastFlux) e che restituisce la presunta collocazione dei pc compromessi facenti parte della botnet.
Come si capisce non si tratta di un metodo basato sulla reale interrogazione del dominio FastFlux come avviene per applicazioni professionali che utilizzano software specifici (honeypot) per catturare il malware ma nella sua semplicita' offre risultati di un certo rilievo senza per questo presentare i rischi connessi ad una interrogazione diretta della Botnet StormWorm.
Come gia' detto in passato lo script sfrutta ciclicamente un metodo indiretto (whois) per localizzare il pc corrispondente all'indirizzo della pagina storm ed anche se non c'e' la certezza che all'ip trovato corrisponda una macchina che distribuisca attualmente malware abbiamo come risultato un report che da' una idea abbastanza reale di come, al momento, sono distribuite nel mondo le macchine infette.

I risultati sono, in parte, una sorpresa in quanto, al contrario di precedenti attacchi StormWorm dove circa il 50% dei risultati dello script puntava a pc locati in USA sembrerebbe che ora la maggior parte di macchine infette da questa nuova 'sessione' di StormWorm sia locata in Cina, il che confermerebbe la tendenza del paese asiatico iad essere il primo come quantita' di computers compromessi da malware di questo tipo o forse anche esserne l'attuale sorgente.

Una parziale spiegazione dei risultati dello script potrebbe derivare dal fatto che al momento dell'esecuzione del test , in Cina e' mattino mentre per zone come l'Europa e notte (2 AM) e quindi presumibilmente la quantita' di pc in funzione e' ridotta.

Potra' comunque essere interessante ripetere questo test, se i domini StorWorm resteranno online, per vedere la variazione nel tempo della distribuzione geografica dei pc infetti facenti parte della botnet.

Edgar

domenica 29 giugno 2008

Hacking in breve

Una ricerca in rete mostra che alcun siti


appartenenti tutti allo stesso IP


presentano, al momento di scrivere il post, la homepage sostituita da

Questo un report che mostra alcuni dei domini .IT coinvolti

Sembra, da quanto si legge in rete, che il personaggio che ha attuato il 'defacing' sia gia' noto per recenti simili problemi ad altri siti anche .IT.

Aggiornamento

Sono presenti su questo IP

una quarantina di siti che hanno la home sostituita da


Questo un parziale report

Edgar

sabato 28 giugno 2008

In rete nuovi falsi antivirus. Qualche dettaglio su 'Antivirus 2009 Protection'

Sono decine, in rete, i siti che propongono false applicazioni antivirus sempre nuove e con layout di pagine molto curati per dare una parvenza di ufficialita' al programma fasullo che tentano di far scaricare.

'Antivirus 2009 Protection' e' il nome di uno di questi software apparso da pochi giorni in rete

Sito curato nel layout e che questa volta tenta di sfruttare il nuovo nome che porta il riferimento all'anno 2009 proprio per apparire l'ultima novita' nella lotta al malware.

Tra l'altro sulla home si nota anche l'icone che punterebbe ad una ipotetica versione del software anche in italiano, cosa che in realta' e' fasulla in quanto se si clicca sulla miniatura della bandiera italiana si attiva solo il download della falsa applicazione.
Quasi tutti i link presenti sulla homepage linkano al file av2009install_0011.exe

La particolarita' di questa nuova 'rogue application' e' quella di essere praticamente sconosciuta, al momento, ai vari softwares antivirus (quelli reali) e solo Microsoft individua il file come Trojan downloader.


Un whois del sito indica un server tedesco come hosting del sito della falsa applicazione.

Una volta cliccato sul file av2009install_0011.exe questa e' la finestra che ci avvisa dell'installazione in corso del falso antimalware


ed una volta terminata si attiva la consueta sequenza (tipica di questi softwares ) di avvisi che ci avvertono della presenza sul nostro pc di malware di tutti i generi con la richiesta di registrare il programma per poter eseguire la rimozione dei codici pericolosi presenti.

Come si vede l'interfaccia del software si presenta ben strutturata e con le tipiche opzioni di un antivirus e la fantasia di chi ha creato il log dei nomi dei files malware trovati e ' notevole. (praticamente sul nostro pc abbiamo tutte le tipologie di malware esistenti.. 'rogue, dialers, trojan ....')

Al momento della prima esecuzione della falsa applicazione appare anche la nota finestra del Security Center (in questo caso di XP) che in realta' non e' l'originale ma una copia della stessa simulata dal software, come si vede dalle differenze tra la reale e quella visualizzata dalla rogue application.

Questo per sollecitarci maggiormente a registrare l'applicazione attraverso anche una serie di messaggi che compaiono nella taskbar

Come al solito il problema non finisce con i falsi avvisi ma si dimostra ancora piu' serio al momento di disinstallare il software fasullo in quanto normalmente con queste applicazioni non basta usare l'opzione di unistall (quando eventualmente presente) ma bisogna rimuovere manualmente chiavi di registro, eliminare la registrazione delle DLL installate dal software, cancellare folders creati dall'applicazione, ripristinare la pagina di default di apertura del browser in quanto a volte risulta cambiata, ecc.... ed il tutto dopo aver bloccato eventuali task attivi dell'applicazione rogue.

Della stessa famiglia di Antivirus 2009 Protection abbiamo anche altre applicazione simili ( Antivirus 2009 e Antivirus 2009 Pro ) che fortunatamente sembrerebbero meglio riconosciute dagli attuali antivirus.

In ogni caso, visto che, attualmente , il pericolo costituito da alcune di queste applicazioni antimalware non viene rilevato praticamente da nessun antivirus esistente e' meglio sempre documentarsi con una ricerca in rete prima di passare all'installazione di software antimalware sconosciuto che potrebbe, poi, farci passare ore nel tentativo di rimuoverlo dal nostro computer.

Edgar

Alcune ricerche in rete di pagine con link a malware (parte terza)

Un'altro esempio di pagine inserite all'interno di 'normali' siti e' quello che vediamo in queste schermate relative a:

Si tratta di un sito che presenta gia' dalla homepage una serie di links che nulla hanno a che fare con l'argomento trattato,

e che sono frutto di un attacco che ha inoltre inserito una grande quantita' di pagine all'interno dello stesso sito, pagine tutte con identico layout e ci cui vediamo un esempio

I links presenti su ognuna delle centinaia di pagine aggiunte puntano in parte ad altri siti compromessi con la medesima tecnica che contengono a loro volta altre pagine con links, il tutto a generare una catena di collegamenti a siti compromessi

Uno dei siti linkati , sempre su dominio .IT e' questo

e presenta al suo interno quasi 3.500 pagine

simili a questa

create ed aggiunte probabilmente di recente visti i riferimenti nel testo a date attuali.

Edgar

venerdì 27 giugno 2008

Alcune ricerche in rete di pagine con link a malware (parte seconda)

Nel post precedente abbiamo visto la presenza in rete di forum contenenti decine se non centinaia di links a falsi video 'porno', che in realta, se cliccati, tentano di far scaricare falsi codec video o player.(malware di solito variante di Zlob)

Un altro tentativo di diffondere malware in rete sfrutta invece l'inserimento in maniera nascosta all'interno di 'normali' siti di gruppi di pagine con links a pagine che di solito vengono eseguiti in automatico con l'ausilio di appositi scripts
Altre volte invece abbiamo direttamente l'inserimento di uno script all'interno del codice della pagina colpita senza la presenza di pagine aggiunte.

Quello che vedremo ora e' un interessante ed attuale esempio che contiene sullo stesso sito le due tipologie (script offuscato e pagine aggiunte al sito) e che non necessariamente e' frutto di uno stesso attacco ma potrebbe anche essere il risultato di due successivi tentativi di diffondere malware.

Si tratta di sito relativo ad un hotel locato sull'isola d'Ischia, e di cui vediamo la homepage.

Dalle info al riguardo di tariffe ed offerte sembrerebbe che il sito venga aggiornato con una certa frequenza ed al momento risulti attivo.

Questo il codice della homepage da cui si nota la presenza di uno script offuscato

che deoffuscato, questa volta, riporta nel codice un iframe nascosto con links a sito sicuramente poco affidabile:

Come si vede solo attivando gli scripts, si nota la presenza di un nuovo iframe sulla pagina e relativo links a sito

che un whois indica come registrato a nome di

ben conosciuto da chi si occupa di malware in rete.

Code dicevo questa volta abbiamo sullo stesso sito anche la presenza di pagine nascoste che propongono, tra gli altri, links ad un motore di ricerca per siti 'porno'

Questa e' una immagine che illustra la struttura del sito dell'Hotel e che dimostra come siano state aggiunte una buona quantita' di pagine che puntano al sito di ricerca

locato questa volta su un altro ben conosciuto range IP noto per contenere pagine pericolose.

Edgar

Nuovi domini Asprox

Un elenco abbastanza aggiornato su nuovi domini Asprox si puo' trovare a questo indirizzo
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080514

ed aggiornamenti su nuovi indirizzi anche su questo
http://www.matchent.com/wpress/

Inoltre qui si possono trovare elenchi di domini pericolosi ed anche domini Asprox
http://malwaredomains.com/

Microsoft ha pubblicato recentemente un Security Advisory al riguardo del problema sql injection con consigli sulla sua possibile prevenzione e tools di verifica tra cui si segnala HP Scrawlr, una utility free di HP che aiuta a trovare la presenza di possibili vulnerabilita' di sql injection.

Edgar

giovedì 26 giugno 2008

Alcune ricerche in rete di pagine con link a malware (parte prima)

In circa due ore di elaborazione il mio tool, che utilizza alcuni motori di ricerca tra i piu' diffusi e che scarica i codici sorgente delle pagine trovate, ha prodotto piu' di 1.300 files sui quali poi, offline, e' stata fatta una analisi per trovare codici pericolosi o links a malware.

Il primo filtro applicato direttamente dai motori di ricerca tramite i tools consisteva nel selezionare solo pagine su dominio .IT e che avessero contenuto le parole chiave 'porn' e 'comune' evitando anche di caricare piu' files da uno stesso sito (duplicati di urls o comunque piu' pagine dello stesso sito)

I 1.300 sources salvati sono poi stati filtrati ulteriormente per eliminare le pagine gia' bonificate ma ancora indicizzate dal motore di ricerca che per la verita' non sono risultate poi molte.(qualche decina)

Rispetto ad una analisi simile eseguita qualche mese fa' si puo dire che la situazione al riguardo di siti che presentano links a malware e la medesima ed anzi, al gia' lungo elenco, si sono aggiunti nuovi casi che presentano notevoli quantita' di links pericolosi.

Un risultato, tra quelli nuovi, e' la scoperta di un forum, che, presentando una buona gestione degli elenchi utenti, ha permesso tra l'altro, di capire meglio sul meccanismo adottato per diffondere i links al malware.

Questa una tipica pagina di post aggiornata ad oggi 26 giugno 2008 (sono decine i post che portano date recenti se non addirittura quella odierna)

Come si vede dal dettaglio dei nominativi utenti del forum quello collegato al creatore del post visto prima riporta una notevole quantita' di messaggi giornalieri.

Nel dettaglio ecco il profilo di chi ha creato i posts

che contengono nei link alle immagini la solita falsa pagina di player con l'invito a scaricare l'activex necessario per la visione del filmato


che come sempre e'

poco riconosciuto dai vari software antivirus come succede con questi malware a continuo aggiornamento di codice.

Oltre ai links a malware presenti sulle decine di foto porno nei singoli post abbiamo pero' la particolarita' della presenza di centinaia di links a siti, con contenuti porno, ma non solo.
Sono infatti presenti collegamenti ad altri forum con il medesimo contenuto di quello visto che a loro volta linkano ad altri simili.
Ecco un particolare dei links trovati sul post attuale,


ed ecco solo alcuni dei forum .IT che sono linkati in una sorta di catena con collegamenti incrociati tra i vari siti e nei quali si nota che il post visualizzato mostra il medesimo utente come creatore

ma anche
Come si vede si tratta di forum appartenenti a siti su dominio .IT che trattano dei piu' diversi argomenti.

Per finire una nota su come sia possibile l'esistenza di questo genere di forum cosi compromessi.

Considerando che il sito che ospita il forum che abbiamo visto e' aggiornato ad oggi, e quindi si presume continuamente visionato da chi lo utilizza o lo amministra una spiegazione potrebbe essere che si sia creato il forum per un evento particolare e che poi lo si sia semplicemente 'dismesso' senza preoccuparsi piu' di vedere cosa sta succedendo ai suoi contenuti.
A conferma di questo c'e' il fatto che sulla homepage del sito che hosta anche il forum mancherebbero proprio i riferimenti ed i link diretti al forum stesso.( che comunque potrebbero pero essere presenti su altre pagine )

Resta pero' il fatto che una ricerca in rete porta a trovare centinaia di links al forum ed ai post 'porno' contenuti nello stesso
e quindi, se chi amministra il sito non vuole piu farsi carico di gestire anche il forum dovrebbe chiuderlo definitivamente onde evitare , se non altro, di spargere in rete links a pericoloso malware sempre aggiornati.

D'altronde l'interesse di chi posta questi falsi messaggi non e' tanto quello di proporli a chi vista il forum direttamente ma piuttosto quello di rendere disponibili decine se non centinaia di link indicizzabili dai motori di ricerca per farli comparire in quantita' elevata ai primi posti di una ricerca in rete, con tutte le conseguenze del caso.

Edgar

mercoledì 25 giugno 2008

Ancora phishing Paypal.IT

Ricevuta mail di phishing ai danni di Paypal IT, scritta in un italiano abbastanza incerto:

Il link presente in mail punta direttamente al sito di phishing

hostato su server australiano

Il tentativo di phishing viene segnalato da Firefox.

Questo il link completo presente in mail al sito fasullo di Paypal Italia

http://www.defenderofsteak.com/.webapps/www.paypal.it/

Edgar