mercoledì 31 ottobre 2007

“Happy Halloween” da Storm Worm 'The dancing skeleton'

AVVISO: TUTTI (O IN PARTE) I LINKS E INDIRIZZI IP CITATI NEL POST APRONO UNA PAGINA CONTENENTE FILE EXE MALWARE E JAVASCRIPT OFFUSCATO CONTENENTE EXPLOIT POTENZIALMENTE PERICOLOSO SE NON AVEVTE AGGIORNATO WINDOWS ED I SOFTWARE CHE USATE CON TUTTE LE PATCH DI SICUREZZA. EVITATE DI APRIRE QUESTI LINK SE NON AVETE PRESO TUTTE LE PRECAUZIONI DEL CASO (ES. FIREFOX CON ESTENSIONE NOSCRIPT ATTIVATA ED ESEGUITO IN SANDBOXIE)

Lo scheletro danzante.
La notte del 31 ottobre si celebra in USA, Canada e da qualche anno anche in altre parti del Mondo , la festa di Halloween.
Vista la notorieta' della ricorrenza questa era una occasione da non lasciarsi sfuggire per poter diffondere malware.
Con un tempismo che dimostra che la rete botnet stormworm e' ancora ben organizzata , nonostante alcune previsioni di un suo lento declino, le pagine web che diffondono il malware sono cambiate passando dalla pagina di false greeting cards a questa nuova pagina che presentava una animazione di uno scheletro danzante

La pagina e' stata poco dopo sostituita da un'altra, tuttora presente agli indirizzi dei domini storm worm, con grafica piu semplice, ma piu immediata e convincente,

che ci propone di scaricare 'Lo scheletro danzante” (download the dancing skeleton" ) , animazione in tema Halloween

Ecco il source:

Inutile dire che il file scaricato, in questo caso halloween.exe e' il malware storm worm.

Ecco i risultati del report di VirusTotal:
-------------------------------------------------------------------------------------------------
Complete scanning result of "halloween.exe", processed in VirusTotal at 10/31/2007 01:33:29 (CET).

[ file data ]
* name: halloween.exe
* size: 111791
* md5.: bb1041a11a87b08048b9bf8a77676a0b
* sha1: 292ccf0b1c9015d6dc48d5b869ece4a9152e0bc8

[ scan result ]
AhnLab-V3 2007.10.31.0/20071030 found nothing
AntiVir 7.6.0.30/20071030 found [WORM/Zhelatin.Gen]
Authentium 4.93.8/20071030 found [W32/StormWorm.G]
Avast 4.7.1074.0/20071030 found nothing
AVG 7.5.0.503/20071030 found [Downloader.Tibs]
BitDefender 7.2/20071031 found [Trojan.Peed.ING]
CAT-QuickHeal 9.00/20071030 found [Win32.Email-Worm.Zhelatin.lj108]
ClamAV 0.91.2/20071030 found [Trojan.Peed-39]
DrWeb 4.44.0.09170/20071030 found [Trojan.Packed.193]
eSafe 7.0.15.0/20071028 found [Suspicious File]
eTrust-Vet 31.2.5253/20071030 found [Win32/Sintun.AK]
Ewido 4.0/20071030 found nothing
F-Prot 4.3.2.48/20071030 found [W32/StormWorm.G]
F-Secure 6.70.13030.0/20071030 found [Email-Worm.Win32.Zhelatin.lj]
FileAdvisor 1/20071031 found nothing
Fortinet 3.11.0.0/20071019 found nothing
Ikarus T3.1.1.12/20071030 found [Email-Worm.Win32.Zhelatin.lj]
Kaspersky 7.0.0.125/20071031 found [Email-Worm.Win32.Zhelatin.lj]
McAfee 5152/20071030 found [Tibs-Packed]
Microsoft 1.2908/20071031 found [Trojan:Win32/Tibs.EU]
NOD32v2 2627/20071030 found [Win32/Nuwar.Gen]
Norman 5.80.02/20071030 found [Tibs.gen177]
Panda 9.0.0.4/20071030 found [Suspicious file]
Prevx1 V2/20071031 found nothing
Rising 19.47.12.00/20071030 found [Trojan.Win32.Peed.dc]
Sophos 4.23.0/20071030 found [Mal/Behav-146]
Sunbelt 2.2.907.0/20071031 found nothing
Symantec 10/20071031 found [Trojan.Packed.13]
TheHacker 6.2.9.110/20071027 found nothing
VBA32 3.12.2.4/20071028 found nothing
VirusBuster 4.3.26:9/20071030 found [Trojan.Tibs.Gen!Pac.139]
-------------------------------------------------------------------------
La percentuale di positivi con la lista degli antivirus di Virus Total risulta abbastanza, alta segno che forse ci si sta' impegnando un po di piu' per combattere questo pericoloso malware.

La pagina contiene anche un codice javascript offuscato (con funzione xor) che decodificato mostra diversi codici di exploit (per winzip , ecc...)

Attualmente la situazione dei domini storm worm e' la seguente (report ottenuto con la versione finale del tool wgetgui)

--------------------------------------------------------
------ REPORT DATE 31/10/2007 TIME 07.37 ----------
--------------------------------------------------------
ptowl.com = READ SITE OK
tibeam.com = READ SITE OK
kqfloat.com = ERROR !!!
snbane.com = ERROR !!!
yxbegan.com = ERROR !!!
wxtaste.com = ERROR !!!
eqcorn.com = ERROR !!!
bnably.com = ERROR !!!
ltbrew.com = ERROR !!!

sembrerebbero attivi solo 2 domini ma la situazione cambia molto spesso.

Come di consueto staranno arrivando le solite mails di spam con l'invito a scaricare 'The dancing skeleton'

Alcune considerazioni:
La scelta di usare Halloween come tramite per far scaricare malware ci fa' vedere che, almeno per ora, come gia' successo precedentemente, si punta a colpire preferenzialmente utenze internet in Usa e Canada o comunque in nazioni di lingua inglese che celebrano la tradizionale festa del 31 ottobre.

Da alcuni articoli, presenti in rete, si e' ipotizzato che botnet storm worm sia in una fase di lento declino; a mio avviso invece il fatto che puntualmente, a poche ore dalla festa di Halloween, (mentre scrivo questo post qui in Thailandia sono le 8 del mattino del 31 ottobre, ma in USA e Canada siamo ancora alla sera 30 ottobre), dimostra che il sistema botnet e' ben funzionante e i suoi creatori fanno affidamento sulle capacita' di diffondere il malware per aumentare l'estensione della rete di computers hackerati in vista di nuovi attacchi.

C'e' anche da rilevare come vengono scelte le pagine per ingannare chi le visita e fargli scaricare il malware; ad esempio la sostituzione della pagina con un'altra diversa poco dopo la pubblicazione forse dimostra una cura anche nel valutare e monitorare i risultati ottenuti. La sostituzione era progrmmata o forse come piu' probabile, si sono accorti che non c'era un numero elevato di download del worm e quindi si e' corsi ai ripari modificando il layout del sito ?

L'unica nota positiva sembrerebbe quella che arriva dalle case produttrici di software antivirus che adesso cominciano a prendere sul serio questo pericolo e stanno cercando di aumentare il riconoscimento di storm worm e delle continue varianti da parte dei loro prodotti.

Edgar

martedì 30 ottobre 2007

Una verifica su range IP Seeweb

A distanza di circa un mese, ho utilizzato il mio tool Webscanner per dare una occhiata ad un range che appariva hostare siti con problemi di iframe e codici javascript offuscati.
Non sorprende trovare ancora siti con javascript offuscati ma , e qui forse occorrera' verificare meglio, alcuni codici sembrerebbero diversi da quelli trovati un mese fa'.

Innanzitutto il report di webscanner.
Si tratta del range 217.64.193.7 - 217.64.193.7 appartenente a Seeweb s.r.l.

----------------------------------------------------------------
IP adr. range and date time = 217.64.193.7_100_30102007_1703
Filter sites with string = unescape
----------------------------------------------------------------
www.argonauti-multimedia.it
www.meit.it
www.seld.it
----------------------------------------------------------------
Num. 3 SITES at IP 217.64.193.7
================================================================
www.eurofficepeb.it
www.fotoottica2f.it
www.brokerass.it
----------------------------------------------------------------
Num. 3 SITES at IP 217.64.193.19
================================================================
www.assomela.it
www.dreamteamsport.it
www.roadsnails.it
----------------------------------------------------------------
Num. 3 SITES at IP 217.64.193.39
================================================================
www.studiosgambati.it
www.hotelhermitage.av.it
----------------------------------------------------------------
Num. 2 SITES at IP 217.64.193.55
================================================================
www.meit.it
www.matermatuta.com
www.maglu.it
www.gscopy.it
----------------------------------------------------------------
Num. 4 SITES at IP 217.64.193.71
================================================================
www.barchessacontarini.it
----------------------------------------------------------------
Num. 1 SITES at IP 217.64.193.76
================================================================


Esaminiamo, ad esempio, il sorgente di www.brokerass.it il cui file presenta la data del 29/10/2007 – ore 23.52
Come gia' detto in precedenza, visto che le date dei sorgenti scaricati spesso sono molto diverse tra di loro, a mio avviso potrebbe trattarsi della data dell'ultimo edit del file html.


Il source scaricato da webscanner presenta 2 codici offuscati (ho messo sotto il secondo il codice deoffuscato) e vari link
Non ho tenuto nota dei codici rilevati circa un mese fa' ma non mi pare di ricordare un riferimento, come si vede qui, a href=http://botnet.cc/ ( sito russo con whois in Malesia).

E questo e' lo screenshot di come appare la pagina.


Anche gli altri siti presentano nel codice tutti 1 o 2 javascript offuscati che pero' variano da pagina a pagina.

Visto l0 stato di abbandono in cui si trovano questi siti, praticamente la pagina originale e' stata sostituita da codici malevoli e links, e' probabile che ci troviamo di fronte a domini ormai non piu utilizzati da chi li aveva registrati, ma in ogni caso sembrerebbero ancora fornire spazio a chi vuole diffondere malware e spam.

Edgar

Un nuovo arrivo di mails spam con allegato PDF

C.I.S.R.T. segnala un nuovo arrivo di mails di spam contenenti un allegato PDF che sfrutta la vulnerabilita di Acrobat reader e di cui Adobe ha rilasciato la patch recentemente.

Il contenuto della mail e' :

Uno dei seguenti Subject:
Balance report
Credit report
Credit statement
deferred tax
Financial report
Income points
Income report
Profit or loss reports
Statement of cash flows
Statement of retained earnings

Il corpo della mail contiene invece uno dei seguenti testi
Please have a look at attached document.
Please read the attached document.
Please review your Financial report.
Please review your Income points.
Please review your Income report.
Review the attached file for details.
Review your Balance report.
Review your deferred tax.
Review your Profit or loss reports.
Review your Statement of cash flows.
Your document is attached.

Per quanto si riferisce all'Attachment possiamo avere:

debt.2007.10.29. seguito da sei numeri . pdf es. (debt.2007.10.29.2663995.pdf)
overdraft.2007.10.29.seguito da sei numeri.pdf es. (overdraft.2007.10.29.6991633.pdf)
report.2007.10.29. seguito da sei numeri .pdf es. (report.2007.10.29.5848849.pdf)

Le dimensioni dei files PDF sono di circa 4.7KB,

Il programma antivirus Kaspersky identifica il file pdf come Exploit.Win32.PDF-URI.l.

Tutti questi file se aperti in versioni non patchate di Adobe Reader, scaricherebbero un file eseguibile da un server ftp remoto.

Ho esgutio un whois dell'IP del server remoto e questo e' il risultato:

Network Information for 81.95.146.181
% Information related to '81.95.144.0 - 81.95.147.255'
inetnum:        81.95.144.0 - 81.95.147.255
netname: RBNET
descr: RBusiness Network


Edgar

lunedì 29 ottobre 2007

Ma McAfee Site Advisor e' affidabile ?

Stavo vedendo un po di links postati sul sito McAfee Site Advisor.
Per chi non lo conoscesse si tratta del sito di McAfee che raccoglie le segnalazioni degli utenti su siti ritenuti pericolosi per malware, exploit, phishing ecc....
Il sito verifica e cataloga i siti ricevuti creando una lista di siti divisa in siti affidabili oppure siti con diversi gradi di pericolosita' per chi li visita.

Guardando l'elenco ho visto che e' stato segnalato itpubblicazioni.net, sito gia' esaminato dal blog maipiugromozon, e che presenta pericolosi link attraverso javascript caricati esternamente alla pagina.

Con mia sorpresa, questo e' il risultato dell'analisi di Site Advisor:


Il sito itpubblicazioni.net viene considerato come:' "We tested this site and didn't find any significant problems."
Ma c 'e di piu , i link rilevati nella pagina da Site Advisor, sono tutti affidabili tranne uno, come si vede dal diagramma presente nell'analisi di itpubblicazioni.net


Se esaminiamo il codice sorgente di itpubblicazioni in effetti non vediamo links pericolosi ma basta guardare nei codici javascript esterni caricati con la pagina


Oltre al citato mf.valik.biz abbiamo ad esempio un iframe con un link a systemdoctor.com (ignorato da site advisor) che carica un codice di cui potete vedere una piccola parte nello screenshot seguente

Senza entrare in dettagli, non ci vuole molto a capire quale sia la natura di questo codice tra l'altro ben documentato; basta vedere che esiste la funzione Bypass Norton Internet security ........ per non avere dubbi.
Un'altro link e' al sito xadksqgxm.com che (cito maipiugromozon blog) punta ad un range in moldavia ben noto che contiene solo malware e virus che tentano di installarsi attraverso exploit.

A questo punto risulta difficile capire come McAfee site advisor possa indicare che itpubblicazionni e' un sito "We tested this site and didn't find any significant problems." cioe' senza problemi dal punto della sicurezza.
Il dubbio e' che le verifiche di site advisor , almeno per questo caso, siano state molto superficiali.
Penso che non basti verificare che il sito non carichi malware direttamente per dire che sia sicuro e forse farebbero meglio prima di dare l OK a verificare con piu attenzione esempio anche i codici javascript caricati dalla pagina.

Devo anche dire che gia alcune volte avevo visto su Site Advisor siti che notoriamente fanno da tramite a siti pericolosi essere indicati come affidabili.

Edgar

Alcuni siti di magazines online con javascript offuscato.

Qualche giorno fa Dancho Danchev ha pubblicato nel suo blog, la notizia che alcuni siti di magazines online, del gruppo GM Media Worldwide, sono stati compromessi con l'aggiunta di codice javascript offuscato.

Il blog riportava di una ventina di riviste hostate tutte sullo stesso server che conterrebbero iframe con javascript.
Attualmente, se si esamina qualche sorgente di questi siti abbiamo diversi javascript inseriti nelle pagine, su alcune abbiamo un solo iframe ma anche la presenza di link, in chiaro, a siti russi.

Vediamo ad esempio il codice del sito businesscomputingmagazine.com - Business Computing Magazine .

In questo primo caso del sorgente originale della home page rimane ben poco dato che ci troviamo di fronte solo ad un javascript offuscato in maniera molto semplice.(solo codici di escape senza nessun tipo di codifica aggiuntiva) e che deoffuscato (vedi righe in chiaro sotto la sequenza di codici escape) mostra un link al sito ilovemyloes.com con probabile tentativo di scaricare malware sul pc.


Il secondo esempio visualizza il codice del sito securitystandardmag.com - Security Standard che presenta un javascript piu' complesso tra cui anche un link a http://winhex.org (vedi righe decodificate in basso nello screenshot)

Il terzo esempio invece ci mostra la pagina di ceweekmag.com - CE Week Magazine con anche qui uno script offuscato ma con l'aggiunta di due riferimenti a siti .ru : Xaknet.ru e forum.xaknet.ru



Provando a visitare il primo link Xaknet.ru: appare dapprima una finestra (falsa ?) di login ma non attiva poiche' basta cliccare OK per procedere.

Il fatto che si tratti di una falsa finestra ( o quantomeno non attiva) di login lo si potrebbe anche dedurre dal messaggio che esce se tentiamo di chiudere la finestra

ci viene suggerito di procedere premendo OK; quindi viene caricata una pagina dal testo perlomeno strano in quanto vorrebbe significare che questo dominio che stiamo visitando, sia sotto attacco ... e ci mostra anche 2 link

Il primo link visitato carica questo sito.


Capire a cosa servano i due link aggiunti oltre al codice javascript nelle pagine compromesse, non risulta facile; probabilmente si tratta solo di un modo per farci visitare siti .ru da cui poi tentare di scaricare malware sul pc o linkarci in automatico ad altri siti di dubbi contenuti.

Breve aggiornamento:

Lucass e, piu' in dettaglio, GMG nei commenti al post,segnalano che:

Deoffuscando il codice javascript presente su uno dei siti compromessi otteniamo il link hxxp://ilovemyloves.com/traff.php?[Numeri casuali] che punta ad una pagina con due iframe contenenti i links a hxxp://ilovemyloves.com/films/in.cgi?11
e hxxp://ilovemyloves.com/lol.php.
Il primo fa scaricare il Trojan-Downloader.Win32.Injecter.u da hxxp://www.abb-girls.com/cgi-bin/nsp15/in.cgi?p=acc55 mentre il secondo richiama un altro link dal sito (hxxp://ilovemyloves.com/films/in.cgi?12) che richiama hxxp://ilovemyloves.com/ra/index.php che fa scaricare un exe (Trojan-Downloader.Win32.Dirat.h) da hxxp://ilovemyloves.com/ra/load.php

Edgar



domenica 28 ottobre 2007

Un falso errore DNS

Abbiamo visto in precedenza come alcuni siti malware cerchino di far scaricare, a chi li visita, falsi programmi antivirus, antispyware ecc. simulando scansioni antivirus che trovano problemi, in realta' inesistenti, sul computer. .
Questo sito invece , diversamente dai piu', non usa lo stratagemma della falsa scansione ma utilizza un modo originale per cercare di convincerci a fare il download di un file pericoloso.

Come si vede dallo screenshot la pagina che appare, quando carichiamo il sito, simula abbastanza bene un tipico messaggio di errore DNS con l'aggiunta di alcuni link al falso programma antispyware.
Interessante notare, in alto sulla pagina, la riga di avviso in colore giallo tipica del browser Microsoft, che simula un messaggio di errore ( in realta' il messaggio e parte della pagina stessa) proponendoci anche i link per risolvere il problema.

Seguendo uno di questi link arriviamo alla pagina con l'invito ad installare il programma antispyware (install_en.exe) che contiene invece il trojan win32.winfixer.

Il whois del sito corrisponde, ma questa non e' una novita', ad Inhoster Hosting Company, Ucraina.

Edgar

venerdì 26 ottobre 2007

Mail di phishing CARTASI'

Si tratta di una mail ricevuta quest'oggi


Il testo della mail, scritto in un italiano non proprio corretto, termina con una nota abbastanza comica che ci spiega che se si riceve questa mail ma non si e' possessori di un account cartasi' si potrebbe essere denunciati .... "Se ha ricevuto questo avviso e non e il vero proprietario della carta prepagata di Cartasi, la informiamo che rappresenta una violazione della politica di Cartasi di sostituirsi ad unїaltro utente ............ Le informazioni saranno fornite su richiesta alle agenzie legali per accertarsi che i falsi possessori siano proseguiti nella misura adeguata dalla legge. ..."
A parte questo, il link presente nella mail punta ad una falsa pagina Cartasi' che attraverso i soliti passaggi ci chiede i codici ed il numero della carta


L'IP del server , che ospita la falsa pagina Cartasi', risulta appartenere alle Barbados



e questa e' la pagina che appare passando al browser l'indirizzo IP del server

Si tratta della home page del provider che fornisce l'hosting anche alla pagina di phishing e che conferma quanto visto con un whois: Ace Communications - Welches - St. Michael Barbados.

Edgar

WGETGUI beta 1

E' disponibile il tool WgetGui v.beta1 scaricabile dal link a lato nella pagina.

Installazione:
Per il corretto funzionamento occorre avere installato NOTEPAD++ sul pc.
Notepad++ e' un potente editor free che potete scaricare da questo link
http://sourceforge.net/project/showfiles.php?group_id=95717&package_id=102072
Per info sul programma questo e' il link al sito
http://notepad-plus.sourceforge.net/uk/site.htm
La path di default per wgetgui dove recuperare il programma notepad++ e' C:\notepadpp\notepad++
Una volta installato, consiglio la versione zip di notepad++, se avete messo il programma in un folder diverso da quello indicato sopra dovete portarvi nel file ini di wgetgui e dare la path (completa del nome del programma ) modificando quella presente.
Dovrete poi, per evitare che notepadd++ quando lo chiudete ricordi i nomi dei files sources caricati e tenti di riaprirli successivamente, andare in notepad++ settings -> preferences -> misc -> e togliete la spunta da REMEMBER the current session for next launch .....

USO di WGWTGUI BETA 1
L'interfaccia accetta url in formato www.xxxxx.xx oppure come indirizzo IP.
Opzioni:
NV = non verbose ...visualizza log solo se caricata pagina correttamente
V = verbose log con piu' dettagli

WHOIS = aggiunge whois al log

Search EXT java = aggiunge al log la lista di files javascript esterni caricati con la pagina
Load EXT java = salva i sources dei javascript esterni su un file

Display SRC = visualizza il sorgente della pagina nella finestra di output (default visualizza il log)
Save src = salva sorgenti log, java e html nel folder scelto da menu'.
+date time = aggiunge al nome dei files salvati il riferimento a data e time attuale per salvare in diversi tempi la stessa pagina.

AGENT = seleziona tra una trentina di stringhe testo quella che definisce come WGET verra' visto dal server su cui risiede la pagina da esaminare. Questo il link dei formati stringa AGENT:
http://www.useragentstring.com/pages/useragentstring.php

I tre bottoni: log souce e java per visualizzare i risultati nella finestra di output della GUI senza dover ricaricare la pagina.
Un bottone ALL in notepad++ per aprire la visualizzazione su notepad++.
Timeout e retries sono il tempo limite per il timeout in secondi e i tentativi fatti da wget per scaricare la pagina.

IMPORTANTE: tutte le modifiche applicate alle opzioni dell'interfaccia (NV, V, EXT java ..folder di default ecc..) verranno mantenute solo se si esce dal programma attraverso il bottone EXIT, uscendo dal tool semplicemente attraverso la chiusura della finestra (cliccando sul bottone X in alto a destra) le impostazioni non verranno salvate e si tornera' alla configurazione precedente (praticamente un UNDO del setup di WGETGUI).

Ecco un esempio pratico dell'uso e dei risultati con differenti stringhe AGENT:

Dominio ptowl stromworm con AGENT Internet explorer

stesso dominio con AGENT browser SAFARI su MAC


ora il codice javascript offuscato risulta assente dal source scaricato.

NOTA IMPORTANTE:
Si tratta di una beta e quindi soggetta a possibili problemi di stabilita' e funzionamento, anche se ho cercato di testarla durante la scrittura del codice.
Per adesso le opzioni di caricamento multiplo di pagine da lista file txt non sono abilitate.

EDGAR

Screensavers e Adware

Completiamo la rassegna di siti che installano Adware con quelle pagine che distribuiscono Screensavers (salvaschermo) e che spesso, come per le "Smiles" contengono codice Adware.
Vediamo prima un esempio di un sito strettamente collegato a quello che abbiamo visto per le Smiles.

Il sito ci propone l'installazione di uno screensaver che, come si vede, aggiunge la browser anche la toolbar MyWebSearch, con tutte le conseguenze del caso, come abbiamo visto al riguardo delle "Smiles"

Un secondo esempio

In questo caso la pagina non ha una grafica curata come quella precedente; scaricando e procedendo ad installare uno dei molti screensavers proposti, abbiamo questo risultato :



Qui vediamo che l'antivirus rileva la presenza di adware.
C'e' da considerare che non molti antivirus rilevano la presenza del codice, come si nota dall'analisi fatta con virus total
ma questa volta c'e' anche una spiegazione.
Di solito il compito principale di un antivirus, lo dice il nome, e' quello di prevenire l'accesso o rilevare ed eliminare dal nostro computer virus informatici o altri programmi dannosi come worm, trojan e dialer.; qui invece ci troviamo di fronte a codici che non sono virus o malware ma software che aggiunge pubblicita', toolbars ..ecc.. sul nostro computer.
Molti antivirus quindi, al riguardo di codici adware, non considerano come prioritaria una individuazione di questi softwares.
E' per questo che esistono da tempo, programmi specifici , per bloccare o rimuovere Adware dai nostri computers, ne cito solo due tra i piu' conosciuti, AD-AWARE della Lavasoft (di cui esiste una versione FREE) e Spybot - Search & Destroy che e' gratuito; ma ne esistono molti altri.
Questi software sono programmati anche per eliminare un'altra insidia software, questa volta ben piu pericolosa del semplice adware , che si chiama Spyware e che spesso e' collegata alle funzionalita del codice Adware.
Lo Spyaware e' un software, generalmete maligno, che puo' tracciare silenziosamente le abitudini di navigazione dell'utente e catturare informazioni anche riservate.
Questi dati possono servire per creare un profilo commerciale dell'utente che viene trasmesso in maniera nascosta, ad aziende che possono poi utilizzarlo ad esempio, per campagne pubblicitarie.


Edgar

giovedì 25 ottobre 2007

Smiles e Adware

ll termine adware (in inglese, advertising-supported software, che tradotto significa software sovvenzionato dalla pubblicità) indica un software, di solito free, che installa sul nostro computer oltre che al programma stesso anche del codice che puo' presentarci pubblicita' sotto forma di pop up oppure aggiunge toolbar al nostro browser che di solito orientano la ricerca su siti particolari ... ecc...
Tra le varie categorie di software, al cui interno e' presente adware ci sono i programmi di librerie gratuite di 'smiles' , icone animate, cursori animati, save screen, ecc.....
Capita, a volte , di voler personalizzare una mail o un messaggio aggiungendo una faccina o una icona animata e appunto questi programmi ci offrono gratis questa possibilita'.
Tutto questo sarebbe ottimo se non ci fosse la 'fregatura' ad attenderci e cioe' l'installazione contemporanea di adware.
Il problema di solito e' dovuto al fatto che le istruzioni di installazione tendono a non evidenziare molto che installando il software accettiamo anche, esempio come vedremo ora, l'aggiunta di una toolbar al browser che pilotera' le nostre ricerche internet su siti predefiniti, con contenuti per adulti.. ecc..
Vediamo ad esempio un classico software di SMILES che e' presente in internet da qualche anno.
La home page ci propone diverse scelte di smiles da poter scaricare


proseguiamo nel download


e qui vediamo che oltre al bottone con l'icona della faccina subito sotto c'e' la toolbar MyWebSearch, anche se l'immagine la lascia in grigio evidenziando solo il bottone con l'accesso alle SMILES
Proseguendo vengono date tutte le istruzioni dettagliate per scaricare il file setup.exe, disponibile anche per Firefox.

Una volta scaricato il file setup.exe lo verifichiamo con Virustotal e qui la prima sorpresa.

Alcuni programmi antivirus vedono setup.exe come applicazione adware.
A questo punto forse potremmo desistere dall'installazione , ma proseguiamo

Come si vede, sulla finestra di install di default e' spuntata l'opzione che ci aggiornera' automaticamente il software con nuove versioni, adware compreso.
Eseguiamo il file setup.exe ; in questo caso il download era fatto con Firefox, e ora un'altra sorpresa, anche su Explorer 7, che al momento non era in run, appare la toolbar di MyWebSearch.

Si potrebbe pensare che, visto che stiamo usando Firefox l'installazione sia riferita a questo browser, invece non e' cosi, il programma di install ha trovato sul computer Explorer 7 e , senza nessun avviso, si e' installato anche sul browser Microsoft.

Ora ci troviamo con due browser che presentano una barra di ricerche, con varie opzioni abbastanza inutili, ed altre varie icone a link di savescreen, cursori animati ecc di cui probabilmente non abbiamo bisogno.
Un esempio, cliccando sull'opzione full search, il browser ci prone pagine di elenchi di siti, che per un utente italiano, non hanno molta utilita'.

Inoltre spesso questi programmi aggiuntivi tendono a rallentarne la velocita' di navigazione ed anche a provocare crash del browser.
La lentezza di navigazione puo essere spiegata dal fatto che i programmi adware spesso comunicano le abitudini di navigazione dell'utente a server remoti, generando traffico, e non e' possibile, per un normale utente internet, conoscere quali dati vengano inviati e ricevuti attraverso tale connessione, dati che possono essere potenzialmente pericolosi per la privacy .

Ma la cosa piu divertente, si fa per dire, viene ora...., se intendiamo disinstallare queste toolbar dai due browser, potrebbe non essere una cosa semplice poiche' la disinstallazione delle toolbars puo, in alcuni casi, significare anche il dover rimuovere manualmente alcune chiavi dal file registro per ripulirlo dalle decine di riferimenti a files che, in questo esempio, MyWebSearch ha scaricato sul pc.

In conclusione, forse conviene utilizzare le 'smiles' presenti di default sui nostri messenger ed evitare di installare sul nostro computer software a volte inutile e spesso dannoso.

Edgar

mercoledì 24 ottobre 2007

Una' curiosita' online: Il deposito del MALWARE

E' apparso sull'ottimo blog di Dancho Danchev - Mind Streams of Information Security Knowledge un interessante post su un server internet contenente in un solo folder piu' di 100 malware sotto forma di svariati file exe, rar, zip;
praticamente un deposito online da cui attingere programmi pronti all'uso.
Indagando un po piu' a fondo su questa notizia, si puo' vedere dagli screenshot del folder, che ci troviamo di fronte ad un assortimento veramente vario con le le date dei files che variano dal 2006 sino a maggio 2007.
Questa e' una lista parziale dei files contenuti:


un'altra parziale vista del folder


Un file che ho subito testato e quello denominato wget.exe, se non altro perche e' un software che uso frequentemente negli script in Autoit.

Ad una scansione con VirusTotal risulta infetto per :

Complete scanning result of "wget.exe", processed in VirusTotal at 10/24/2007 03:49:36 (CET).

[ file data ]
* name: wget.exe
* size: 15941
* md5.: ff1aae931ac2231f92365399100ee129
* sha1: 0c0527315b2416744862be2cac05c23238119906

[ scan result ]
AhnLab-V3 2007.10.24.0/20071023 found [Win-AppCare/Renos.15941.B]
AntiVir 7.6.0.27/20071023 found [TR/Fakealert.FC.1]
Authentium 4.93.8/20071023 found [W32/Downloader.gen10]
Avast 4.7.1074.0/20071023 found [Win32:Trojan-gen {Other}]
AVG 7.5.0.488/20071023 found [Generic4.EOO]
BitDefender 7.2/20071024 found [Trojan.ED]
CAT-QuickHeal 9.00/20071023 found [Hoax.Renos.ho (Not a Virus)]
ClamAV 0.91.2/20071024 found [Trojan.Fakealert-66]
DrWeb 4.44.0.09170/20071023 found [Trojan.Fakealert.271]
eSafe 7.0.15.0/20071022 found [Win32.Zlob]
eTrust-Vet 31.2.5235/20071023 found nothing
Ewido 4.0/20071023 found [Not-A-Virus.Hoax.Win32.Renos.ho]
F-Prot 4.3.2.48/20071023 found [W32/Downloader.gen10]
F-Secure 6.70.13030.0/20071024 found [not-virus:Hoax.Win32.Renos.ho]
FileAdvisor 1/20071024 found [High threat detected]
Fortinet 3.11.0.0/20071019 found [PossibleThreat!017971]
Ikarus T3.1.1.12/20071024 found [not-a-virus:Hoax.Win32.Renos.ho]
Kaspersky 7.0.0.125/20071024 found [not-virus:Hoax.Win32.Renos.ho]
McAfee 5147/20071023 found [Generic.ed]
Microsoft 1.2908/20071024 found [Joke:Win32/Renos.HO]
NOD32v2 2611/20071023 found nothing
Norman 5.80.02/20071023 found [W32/Suspicious_U.gen]
Panda 9.0.0.4/20071023 found [Adware/WinAntivirus2006]
Prevx1 V2/20071024 found nothing
Rising 19.46.12.00/20071023 found [Adware.Win32.Renos.ho]
Sophos 4.22.0/20071024 found [Mal/TinyDL-C]
Sunbelt 2.2.907.0/20071023 found [Trojan.FakeAlert]
Symantec 10/20071024 found [Trojan.Zlob]
TheHacker 6.2.9.105/20071023 found [W32/Behav-Heuristic-060]
VBA32 3.12.2.4/20071022 found [Trojan.Fakealert.271]
VirusBuster 4.3.26:9/20071023 found [Packed/Upack]
Webwasher-Gateway 6.6.1/20071023 found [Trojan.Fakealert.FC.1]

La pericolosita' del contenuto dei falsi programmi di questo folder risulta comunque attenuata dal fatto che essendo i files non recentissimi, una buona parte degli antivirus (ma purtroppo non tutti ... vedi elenco sopra ..) rileva le minacce contenute nei falsi programmi.

Un whois dell'IP del server che contiene questi files punta a:



Edgar


martedì 23 ottobre 2007

Cambiamenti sulle pagine typosquatting italiane

Durante il test di WgetGui, di cui parlo nel post precedente, mi sono accorto di una nuova variazione della pagina visualizzata in caso di errata digitazione di una url del sito che vogliamo visitare.
Mi riferisco al typosquatting di siti italiani di cui parlavo in questo post.
Adesso digitando come esempio www.corrriere.it cioe' con una r di troppo si e' linkati ad una pagina che non presenta piu, come prima,' un sito per adulti ma una FALSA pagina che ci avverte dell'errore.

Come si vede, la pagina vuole simulare, anche se in maniera abbastanza grossolana, il risultato che normalmente si ottiene quando si digita una url errata.
In questo caso abbiamo un link che a sua volta ci reindirizza ad un'altra pagina.
Al momento il link punta al vecchio sito a cui si accedeva precedentemente e cioe' ragazze-spiate.com che pero' sembrerebbe off line.
Le novita' pero' non sono finite!
Proviamo ora a digitare ad esempio www.repubbblica.it, con le 3 b.
Invece del sito del noto quotidiano italiano ci si aspetterebbe una pagina simile al caso precedente, invece no, ora abbiamo una pagina che propone link che cambiano in continuazione ogni volta che digitiamo l'errata url.

Ecco alcune videate di quello che viene caricato
ad un'altro load della pagina con url errata
ed ancora
continuando con sempre nuovi link.

Un whois della pagina, con i link che cambiano in continuazione, ci porta in Svizzera


mentre i siti, tutti in lingua Italiana, presenti nei links sono locati in diversi paesi : Germania, Usa ma anche Italia.

Non sembrerebbe comunque che si tratti di pagine contnenti malware ma rimane comunque il dubbio, se non altro, sull''affidabilita' di siti che per rendersi visibili, adottano la tecnica del typosquatting.

Edgar

Preview WgetGui beta 1

Ecco alcuni screenshot dello script Autoit WgetGui che in parte risulata ormai terminato e funzionante.
Adesso e' disponibile oltre alla visione del source della pagina in Notepad++ anche il codice sorgente dei files java esterni alla pagina web.

Come test ho scelto un sito in italiano con link a pericolosi siti con malware che presenta nel codice anche riferimenti a file java esterni.

Questa e la schermata di WgetGui in azione


e questi sono gli screenshots del report che viene passatoe visualizzato con notepad++

Il primo e' il dettaglio del log generato da wget quando carica la home page del sito

il secondo screen e' il source della pagina


ed il terzo screen e' il sorgente dei codici java esterni al sito che vengono caricati insieme alla pagina.


Questo invece e' un esempio di un sito storm worm dove vedete in basso il codice javascript offuscato.

Si noti come l'utilizzo di notepad++ , permetta di avere una visione chiara dei codici e delle istruzioni presenti nei sources.
Come curiosita' c'e'da dire che l'ottimo editor notepad++ e' anche utilizzato in una sua variante come editor dei sorgenti (SCITE) in Autoit.

A breve sara' disponibile la versione beta di WgetGui da scaricare.

Edgar