venerdì 30 aprile 2010

Siti IT compromessi (agg.29-30 aprile)

Piu' della meta' dei siti hostati su

presentavano questa mattina(ora thai) una pagina in sostituzione della homepage


Ecco un report webscanner che evidenzia il problema

Ecco invece un sito appartenente a Comune con attualmente inclusa la seguente pagina (notare identico nominativo della pagina vista prima anche se questa volta non in grafica ma solo testo)

Anche nella giornata di ieri sempre numerosi i siti con problemi, tra cui quelli hostati su

con home sostituita da (stesso personaggio visto oggi su altri siti)


Questo il report


ed alcuni hostati su

con la seguente pagina sempre in sostituzione della homepage

Questo il report


Edgar

mercoledì 28 aprile 2010

Phishing BCC - Credito Cooperativo

Tra le mail di phishing ricevute, segnalo questa ai danni di BCC,

che ancora una volta presenta un form di falso login come file allegato

Il form ha le seguenti caratteristiche

reindirizzando su

con whois

per l'acquisizione dei dati di login digitati e da cui poi si viene portati sul reale sito BCC.

Le immagini presenti sul form di phishing sono invece hostate su account di free web hosting appositamente creato allo scopo.

Edgar

Sito comunale compromesso

Tutte e tre gli indirizzi web

presenti su un reverse IP relativo a

ed appartenenti a sito comunale del nord Italia hanno attualmente, la homepage sostituita da

Edgar

martedì 27 aprile 2010

Siti IT compromessi (agg.27 aprile)

La totalita' dei siti la cui url e' stata acquisita con un reverse IP su

presentavano questa mattina(ora thai) una pagina inclusa, ma anche, in alcuni casi, che sostituiva la homepage

Ecco un report webscanner che evidenzia il problema

Edgar

lunedì 26 aprile 2010

Da forum IT un link a nuovo layout di 'fake' sito di filmati porno utilizzato per distribuire malware

AVVISO ! Ricordo, come sempre che, anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc..)

La pratica di proporre, su forum legittimi, centinaia di post fasulli creati allo scopo di linkare a siti pericolosi , e' sempre molto diffusa.
In questi casi lo scopo principale, e' quello di utilizzare i forum come fonte di links a malware o fake AV , quando eseguiamo una ricerca i rete.

Vediamo alcuni dettagli:

Si tratta di un forum, facente parte di un sito relativo ad una lista civica che si e' presentata alle elezioni 2009 , e che probabilmente non viene piu' amministrato (anche il sito sembra non avere aggiornamenti recenti)
In compenso sono decine i post presenti che linkano a differenti siti, tutti con contenuti poco affidabili.

Ecco un post attuale

con immagini animate che simulano un player video e che, se cliccate, puntano ad un servizio di shortening URL e precisamente al noto bit.ly.

L'URL shortening (traducibile in italiano come "accorciamento degli URL") e' una tecnica utilizzata nell'ambito del Web per abbreviare lunghi indirizzi (URL) in link di pochi caratteri.
Questa possibilita' e' offerta gratuitamente da numerosi servizi web, tra cui i due piu' popolari sono Bit.ly e TinyURL (fonte Wikipedia)

Tra l'altro bit.ly mette a disposizione le statistiche relative all'uso dell'URL 'corta' generata, cosa che permette di evidenziare come nel caso specifico, la distribuzione dei post con link a fake sito di filmati, sia attiva solo da qualche giorno ,

coinvolgendo comunque un notevole numero di forum e non solo quello IT visto ora


Questa una anlisi degli accessi a bit.ly per la specifica URL 'corta' generata


Una volta cliccato sull'immagine presente o su uno dei link nel post, si vine rediretti (tramite bit.ly) su sito con whois

che presenta il seguente layout

e che propone, per la visione dei 'filmati' il download di un codec

sotto forma di questo file eseguibile

Una analisi VT dimostra che si tratta di malware, come sempre poco riconosciuto,

probabile keylogger come evidenzia Threath Expert in una sua analisi

Edgar

sabato 24 aprile 2010

Siti di codecs , players video e client Torrent che propongono eseguibili malware

In questo post del 2007 http://edetools.wordpress.com/2007/10/16/i-falsi-codec-video/ illustravo alcuni falsi siti di codec che in realta' distribuivano malware. (nota: il link punta al mirror del blog su Wordpress in quanto le vecchie immagini su Blogger sono state eliminate per ragioni di spazio disco)

A distanza di piu' di 2 anni ritorno sull'argomento illustrando un caso attuale, segnalato anche da www.downloadblog.it.

Si tratta di un server con IP riconosciuto come svedese, da quanto risulta con un trace, ma che comunque sembra legato al nome di noto hoster usa , spesso coinvolto in distribuzione di pagine con problemi.

Come succedeva gia' tempo fa, sullo stesso IP troviamo decine di siti che distribuiscono eseguibili proposti come software di installazione di codecs ma anche client Torrent e player video.

Esaminiamo alcuni dettagli dei siti interessati collegati alla distribuzione degli eseguibili

Ecco la home di 3xcodec


che VT vede come


e l'identica pagina, tranne che per il nome del software proposto, e precisamente divoCodec.


Questo invece il sito che propone, sempre su stesso IP, un client torrent

che risulta ad una analisi VT


ma anche player video

con VT

Sia dalle date di registrazione dei domini che distribuiscono queste fake applicazioni, ma anche consultando database online di indirizzi pericolosi

si evidenzia che e' gia' da tempo sono in circolazione queste pagine, anche se, come si nota, su diverso IP.

Anche Safeweb Norton sembra confermare la pericolosita'del sito di falso Codec

ma riguardo al sito 3wplayer fallisce l'analisi indicandolo come SAFE (bollino verde)

, cosa ancora piu' strana trovando il software Symantec come uno di quelli che individuavano il problema nel file eseguibile del 3wplayer (questa una analisi VT del file alla data del marzo 2010)

Ritornando al falso software di installazione dei codec x3codec quando lo stesso viene eseguito si connette a diversi siti per scaricare altro malware sul PC

Ecco alcuni esempi legati a x3codec relativamente agli ulteriori file scaricati quando il programma e' eseguito sul PC

Attraverso l'uso di Curl sono stati scaricati ed esaminati alcuni dei files che x3codec preleva da remoto quando in esecuzione :

questa l'analisi VT di p2c18.exe


e tservice.dll

In particolare p2c18.exe viene visto, anche se non da tutti gli antivirus, come file pericoloso

Considerato che non tutti gli antivirus riconoscono i files eseguibili scaricati come pericolosi, e che quasi sempre questi files proposti come codecs, players, client torrent ecc... sono aggiornati dai loro creatori per eludere i controlli dei softwares Av, la protezione migliore e sicuramente quella di consultare in rete se sono disponibili informazioni al riguardo del programma che vogliamo installare.

Quasi sicuramente, se si tratta di software malevolo troveremo tramite una ricerca, riferimenti alla sua pericolosita' e ai possibili danni che potrebbe arrecare se eseguito sul nostro PC.

Edgar

venerdì 23 aprile 2010

Un altro notevole numero di siti IT compromessi su unico IP (23 aprile)

Piu' della meta' dei siti ospitati su IP di hoster italiano, gia' noto per altri attacchi del genere

presentano questa mattina(ora thai) la homepage sostituita da

ed in alcuni casi da

Inoltre sono anche presenti pagine con lo stesso layout, incluse all'interno dei siti colpiti

Anche un sito comunale risulta nel lungo elenco.

Ecco un report webscanner che evidenzia il problema:


Edgar