giovedì 31 gennaio 2008

Gravi problemi Internet per Egitto, India e paesi limitrofi.

Gravi disagi da ieri 30 gennaio per chi si collega ad internet soprattutto da Egitto ed india che hanno visto la loro larghezza di banda di interconnessione alla rete internet mondiale ridursi del 50% e oltre a causa della rottura di uno dei principali cavi sottomarini nel Mediterraneo.
Non si conosce ancora precisamente la causa di questa rottura ma si avanza l'ipotesi di una ancora di una nave vicino al porto di Alessandria d'Egitto che ha tranciato il cavo.

Dalla mappa si vedono i paesi piu' colpiti da questo disservizio Intenet, e si puo' notare come ad esempio per l'India una delle principali vie di connessione internet al resto del mondo passa proprio per il cavo che attraversa canale di Suez e il Mediterraneo.

Il Ministero delle Telecomunicazioni egiziano ha detto che probabilmente ci vorranno diversi giorni per un ritorno alla normalita' dei servizi internet dopo l'interruzione di mercoledi'.
Si stanno anche cercando percorsi alternativi di comunicazione, compresi i satelliti, per ovviare al grave problema.

Sembrerebbe, che pure qui in Thailandia, anche se in minima misura, qualche problema di comunicazione possa essere presente quando ci si vuole collegare a siti di nazioni che probabilmente prima del guasto usufruivano comunque di questa connessione.

Sara' solo un caso ma da ieri la connessione ad esempio del sito ANSA.it dalla Thailandia e' notevolmente rallentata.

Faccio notare che ad esempio mentre fino al momento del guasto un trace di una connessione ad ANSA it il piu' delle volte visualizzava un passaggio attraverso la zona medio orientale ora come si nota dal grafico si passa sempre attraverso gli USA cioe' in direzione EST.

Ancora una volta vengono quindi evidenziati dei grossi problemi inerenti alla affidabilita' di Internet specialmente con l'aumentare del suo utilizzo.
Nonostante il gran numero di persone che hanno accesso al web, quasi tutto il traffico e' instradato attraverso un piccolo numero di cavi per lo piu' sottomarini.

Nel 2003, la rete di accesso in Europa occidentale e' stata colpita da un guasto ad un cavo di connessione tra gli Stati Uniti e la Francia, mentre le comunicazioni in Asia sono state seriamente danneggiati nel 2006 da attivita' sismica.
Un terremoto di 7,1 gradi sulla scala Richter si e' verificato nel 2006 al largo delle coste di Taiwan, danneggiando i cavi di collegamento tra Corea del Sud, Cina, Giappone e Singapore creando una drastica riduzione di accesso ad Internet e alle comunicazioni telefoniche per tutto il sud est asiatico che sono durate diverse settimane.

La fragilita' della retei Internet sta diventando sempre piu' evidente, e se consideriamo che diverse attivita' (es. le operazioni commerciali di borsa ) ormai dipendono esclusivamente da collegamenti telematici sara' opportuno che si cerchi di perfezionare un sistema che sempre piu' spesso mostra dei limiti alla sua funzionalita'
E' vero che Internet , proprio per la tipologia dei protocolli di rete usati, permette di instradare i pacchetti di dati automaticamente verso la connessione che al momento risulta funzionante e quindi in qualche modo riesce a sopperire ai guasti ma se comunque le vie di comunicazione (cavi e satelliti) risultano ridotte si avra' una inevitabile congestione fino al blocco dei collegamenti.

Edgar

mercoledì 30 gennaio 2008

Links e aggiornamento situazione forum, e guest books nella Pubblica Amministrazione

Ho voluto verificare se, dopo aver inviato 2 mails a chi amministra il forum del Comune di Cortona senza comunque ricevere risposta, al riguardo dei noti problemi che affliggono forum in parte o totalmente mal gestiti (posts e liste utenti con links a siti porno e/o malware) si fosse provveduto ad eliminare dalle liste utenti i nominativi fasulli con relativi links.
Come c'era da aspettarsi, tutto e' rimasto come prima e visto che il mio precedente post era datato 20 gennaio possiamo vedere che gli " aggiornamenti " continuano.


Vediamo ora un piccolo campionario di siti comunali aggiornati ad oggi sia nei forum che nelle liste utenti.
Per completezza pubblico anche l links ai siti elencati ma chi vuole visitare queste pagine prenda tutte le precauzioni del caso dato che sicuramente alcuni dei collegamenti presenti nei forums o nei guestbooks puntano a siti con scripts che potrebbero scaricare malware sul pc. (per chi usa Firefox consiglio di attivare l'addon NOSCRIPT e comunque usare sandboxie per evitare spiacevoli conseguenze)


Comune di Rapone

http://www.comune.rapone.pz.it/directory.asp?cat=140&id=21

Nella pagina in questione e' presente una enorme lista di messaggi con relativi links
Si parte dal 21 ottobre 2007 per arrivare al 29 gennaio 2008.

Comune di Rionero in Vulture

http://www.comune.rioneroinvulture.pz.it/directory.asp?cat=140&id=20

Simile layout di sito e simile lista di links presenti


Comune di Villa San Pietro

http://www.comune.villasanpietro.ca.it/index.php?option=com_content&task=view&id=96&Itemid=26


Interessante notare che alcuni links, recenti, puntano a pagine Google Groups con contenuti e links a siti porno con relativo malware sotto forma di codec o player video fasullo
( ad esempio :
hxxp://groups.google.com/group/zhkhlnm/web/jennifer-love-hewitt-see-through-top )


la paginaGoogle Groups in questione comprende anche una notevole quantita' di parole utili a facilitarne la ricerca ...



Comune di Bellizzi

http://www.comune.bellizzi.sa.it/

Qui basta dare una ricerca attraverso l'apposita opzione

per trovare le pagine presenti siul sito che linkano a siti porno o malware.

http://search.freefind.com/find.html?id=19362052&pid=r&mode=ALL&n=0&query=porn&SUBMIT=Cerca


Sul medesimo dominio e' hostata anche una pagina che collega ad una manifestazione culturale e che a sua volta presenta migliaia di links.
I riferimenti sono al 2006 ma pare che i links siano aggiornati.

http://www.comune.bellizzi.sa.it/strabilandia/2006/default.asp?cmAct=0&cmPag=9294#cm

Comune di Nazzano

http://www.comune.nazzano.rm.it/default.asp

Home aggiornata come si vede dalle news presenti


e guestbook pure quello aggiornato ....

http://www.comune.nazzano.rm.it/guestbook/guestbook.asp?PagePosition=953



Comune di Castelsaraceno

http://www.comune.castelsaraceno.pz.it/azione.php?op=modload&name=Forums&file=viewforum&forum=1

Come si vede neella sezione del forum "Quattro chiacchere" abbiamo aggiornamenti in tempo reale


Comune di Monteprandone

http://www.comune.monteprandone.ap.it/forum/memberlist.php?mode=joined&order=ASC&start=2400

Lista utenti del forum aggiornata che ci ricorda un layout simile a quello del forum del Comune di Cortona visto all'inizio del post.



Per finire con un aggiornamento riferito al sito gia' visto in un precedente post e precisamente Bra Notizie

Comune di Bra - Bra Notizie

http://news.comune.bra.cn.it/modules/news/article.php?storyid=2406

Aggiornamento dei messaggi in un post che parla del Carnevale 2008


Edgar

martedì 29 gennaio 2008

Aggiornamento Storm Worm 29 gennaio

Questo il report VT eseguito il 29 gennaio (ore 2 AM in Italia) sul file withlove.exe (storm worm)


Una piccola considerazione a riguardo dello strano comportamento di NOD32.
Sembra che per NOD32 riuscire a mantenere la possibilita' per piu' di 12 ore consecutive di rilevare un malware conosciuto, che muta costantemente per eludere i controlli degli antivirus, sia solo un optional.
Viene da pensare che almeno in questo specifico caso Nod32 utilizzi solo la firma del virus per rilevare la minaccia e quindi ad ogni mutazione del malware non sia piu' in grado di riconoscerlo o in alternativa che il sistema di rilevamento euristico di NOD32 questa volta non funzioni come dovrebbe.
Risultato, questa mattina, come succede ormai da giorni NOD32 non identifica il file withlove.exe come pericoloso. (test eseguito oltre che su Virus Total anche con il software antivirus in run sul computer)
Dico questo perche' per quanto si riferisce agli altri software antivirus ( a parte le ormai solite eccezioni di Panda, Prevx ecc....) una volta che i programmi iniziano a rilevare la minaccia, di solito, continuano ad avvisare del pericolo anche su nuove varianti del codice malware.

Aggiornamento Storm Worm pomeriggio 29 gennaio

Report praticamente uguale al precedente in relazione al riconoscimento del malware withlove.exe. da parte dei vari software presenti nella lista Virus Total.

Quello che e' invece cambiato dopo qualche settimana e' il disegno presente nella pagina Storm Worm contenente il malware.


Come si vede il disegno del cuore al centro della pagina e' cambiato rispetto al precedente (potete vedere il vecchio layout della pagina su questo post)
Forse avvicinandosi il giorno della ricorrenza di San Valentino si incomincia ad intervenire sui contenuti della pagina e probabilmente assisteremo a nuove modifiche nei prossimi giorni.

Edgar

lunedì 28 gennaio 2008

Phishing Poste IT

Ricevuta altra mail di phishing Poste Italiane con, questa volta, un bonus da soli 99 EURO.
Il whois punta a server tedesco ed il layout del sito di phishing e' simile a quello visto in precedenza
Firefox evidenzia il sito come possibile phishing.
Attualmente al posto del sito compare una scritta in tedesco che informa dell'impossibilita' di connettersi alla pagina. (Diese Präsenz ist leider nicht verfügbar).

Edgar

Aggiornamento Storm Worm 28 gennaio

Situazione nettamente migliorata riguardo al riconoscimento del malware contenuto nel file with_love.exe (pagine storm worm) da parte dei softwares presenti nel report di Virus Total.
Anche NOD32, nel pomeriggio, ha ripreso a rilevare il malware.


Edgar

250 EURO !!!

Evidentemente si tenta di alzare il bonus per invogliare a fornire i propri dati personali.
A parte gli scherzi, si tratta di una nuova mail di phishing, abbastanza curata, anche nel layout del sito, come al solito ai danni di Poste Italiane.

Come si vede il bonus promesso dalla mail e' ora di 250 euro che si potranno ricevere andando a fornire i dati personali sul sito linkato nel messaggio
Particolarita' del messaggio , le icone e immagini, presenti insieme al testo, sono hostate sul sito di upload e condivisione di immagini Image Shack

Facendo una ricerca si nota che Image Shack e' stato probabilmente gia utilizzato altre volte per hostare immagini da utilizzare in false mails di Poste IT


Qui vediamo il folder del server che ospita il falso sito di phishing.

E' interessante notare la presenza di un file zip che contiene il layout completo del sito di phishing ed anche un esempio di mail di phishing, (forse gia utilizzata in passato in quanto punta a dominio ora offline)
Nello zip abbiamo un esempio di file php index che esegue, prima dell'invio via mail (yahoo) dei dati catturati agli ignari visitatori, alcuni controlli sulla autenticita' di quanto digitato

Inoltre contrariamente a quanto succedeva in passato, c'e' anche una pagina di conferma, della corretta attivazione del bonus. ( con un piccolo errore sul testo riguardo alla "..... CASSETTA di posta ...") .
La pagina e' curata nei dettagli; si veda ad esempio la data in basso che risulta aggiornata al 2008.


Per il momento Firefox non segnala il sito come pericoloso.

Nonostante il problema phishing ai riguardi di Poste It sia ormai ben conosciuto, l'invio di queste mails fasulle continua, segno che c'e' ancora qualcuno che purtroppo cade nel tranello di questi falsi siti.
Inoltre in questo caso, c'e' molta cura nel creare pagine il piu' possibile simili alle originali e ricche di dettagli per ingannare meglio chi riceve la mail.

Edgar

Funny World

Continua la presenza massiccia in rete di siti con falsi video allo scopo di scaricare malware sul computer di chi li visita.
Ne troviamo accanto a quelli con contenuti per adulti anche altri con contenuti di varia natura.
Un sito che presenta un layout abbastanza curato e decine di pagine tutte con inesistenti links a filmati e' Funny World

In realta' tutte le anteprime dei video sono solo collegamenti ad una pagina di download di un falso activx da scaricare per poter visualizzare il filmato.

In questo caso e' interessante notare due particolari:
Il primo e' che, come ormai succede sempre piu' spesso, il file malware non viene riconosciuto dalla maggior parte dei software antivirus


Solo pochissimi dei programmi in lista Virus Total evidenziano il file come pericoloso.
Il secondo particolare e' che anche se il sito e' hostato su server russo

il malware viene scaricato da sito locato in Siria (con registrazione Estdomains INC.) , segno questo di un sempre piu' diffuso utilizzo di servers che hostano files pericolosi ed anche siti di phishing, in paesi medio orientali e asiatici.(Turchia, Siria, Malesia ecc.....)

Edgar

domenica 27 gennaio 2008

Aggiornamento Storm Worm 27 gennaio

Situazione abbastanza simile a ieri (26 gennaio), con il Nod32 che non riesce a rilevare in with_love.exe la minaccia in maniera stabile. (files positivo al mattino ma al pomeriggio Nod32 non rileva il malware).

Edgar

sabato 26 gennaio 2008

Aggiornamento Storm Worm 26 gennaio

Migliora il numero di softwares antivirus che rilevano il malware.

Rimangono ancora fuori elenco, tra i softwares conosciuti, ad esempio Panda e Prevx.


Aggiornamento Storm Worm pomeriggio 26 gennaio
Il NOD32 si e' nuovamente aggiunto, insieme ad alcuni altri softwares, alla lista dei programmi che non rilevano il malware
Ecco il report completo di VT.
Edgar

venerdì 25 gennaio 2008

Aggiornamento Storm Worm 25 gennaio

Il riconoscimento del malware with_love.exe e' praticamente lo stesso di ieri 24 gennaio. Sempre assenti dalla lista dei software che rilevano il malware, tra gli altri, Symantec, NOD32, Prevx ecc......

Aggiornamento Storm Worm pomeriggio 25 gennaio
Il numero di software che rilevano il codice pericoloso e' decisamente aumentato ed ora anche Symantec e NOD32 riescono ad evidenziare la minaccia anche se NOD32 la indica solo come probabile variante di virus.


Edgar

Bra Notizie e links a malware

Come molte volte gia' osservato, uno dei principali argomenti utilizzati per diffondere malware e' l'utilizzo di siti con contenuti porno.
Per facilitare la ricerca di questi siti, si creano pagine di solo testo contenenti migliaia di parole, frasi con links ai siti ma anche migliaia di urls con nomi diversi ma tutti che ci ricordano il contenuto hard.
Una ricco campionario di queste pagine, con moltissime urls create appositamente per il 'mercato' italiano, lo possiamo trovare sfruttando una delle ormai consuete pratiche utilizzate per proporre links pericolosi.
Per avere un rifrimento a questi links aggiornato ad oggi non dobbiamo procedere a ricerche approfondite in quanto possiamo, ad esempio, utilizzare il sito del Comune di Bra nelle sue pagine di news 'Bra Notizie'

Come al solito, sfruttando una caratteristica di siti come questo che danno a chi li visita la possibilita di commentare i contenuti delle notizie in maniera del tutto priva di controlli sono stati inseriti parecchi links a siti porno.

Utilizzando un motore di ricerca per reverse IP vediamo ora cosa ci viene proposto cliccando ad esempio sul link presente nei commenti alle news di Bra Online e precisamente "Donne Vip Udine"


L'ip rilevato e' il 72.245.61.101 e da un reverse ip otteniamo un migliaio di urls di cui vediamo una breve lista

Eseguendo una ricerca anche su IP vicini a quello iniziale i risultati non cambiano; abbiamo circa mille pagine hostate per ogni IP con diffrenti URLS e tutte con il medesimo genere di contenuti
C'e' da ricordare che molti di questi siti linkano a loro volta a malware di solito ZLOB proposto come falso setup di player video o codec.
Quello che e' particolare e' che solo pochi software antivirus riescono a roconoscere il pericolo come vediamo da questo report VT

Sempre sullo stesso genere di siti abbiamo quelli hostati su IP 85.92.154.141 ed IP vicini a questo.
Anche in questo caso centinaia, se non migliaia, di url moltissime delle quali in italiano.
I whois degli IP linkano a server in Olanda ma anche USA e Filippine anche se di solito si usa dominio .cn

Inoltre, nel caso di dialers, vengono proposti diversi sistemi a seconda se si usi una connessione modem oppure ADSL per continuare a sfruttare il sitema dialer anche in assenza di un collegamento tramite linea telefonica tradizionale.
In pratica si propone di ricevere una password di accesso al sito XXX componendo un numero di telefono a pagamento.

Come si vede una tale quantita' di links, personalizzati anche per il "mercato' italiano, presuppone una organizzazione sicuramente molto efficiente e diffusa e che approfitta efficacemente anche di tutte le possibilita' offerte da siti che permettono senza troppi controlli di postare links e commenti come nel caso visto ora di 'Bra Notizie'.

Edgar

giovedì 24 gennaio 2008

Mails di phishing Poste Italiane ed Ebay.it

Dopo qualche settimana di calma sembra ripartire l'invio di mail di phishing ai danni di Poste Italiane

Questa volta la mail non contiene promesse di premi in denaro come le molte arrivate in precedenza e tra l'altro il layout della mail e' abbastanza scarno. (nessun logo o immagine)
Il server che ospita il sito presenta whois in Francia.

Come informazione aggiuntiva da segnalare anche l'arrivo di una mail di phishing ai danni di Ebay Italia che al momento comunque linka a sito non attivo e Firefox ci avvisa del pericolo phishing.
Si tratta della solita mail che informa della possibilita' di consultazione online di documenti che ci riguardano.

Edgar

Aggiornamento Storm Worm 24 gennaio

Il test sul file with_love.exe attualmente hostato dai siti Storm Worm vede oggi un maggior numero di rilevamenti malware positivi


Kaspersky ritorna a rilevare il malware ma ad esempio sia Nod32 che Symantec sembra abbiano ormai rinunciato a evidenziare il codice pericoloso; e' infatti da qualche giorno che i due software non evidenziano alcun tipo di malware contenuto nel file eseguibile scaricato dalle pagine Storm Worm.

Aggiornamento Storm Worm pomeriggio 24 gennaio
Non ci sono variazioni di rilievo sul report generato da Virus total tranne che per l'aggiunta alla lista dei software che rilevano il malware di F-Secure.
Rimangono sempre esclusi dall'elenco Symantec, Nod32 , Prevx ...ecc...

Edgar

mercoledì 23 gennaio 2008

Aggiornamento Storm Worm 23 gennaio e test su vari antivirus

La situazione relativa al 23 gennaio quando si esegue un test sul file withlove.exe attualmente hostato dai siti Storm Worm vede un maggior numero di rilevamenti malware positivi, rispetto ai giorni predcedenti,


Rimangono comunque esclusi dal report ad esempio Nod32 e McAfee.

In riferimento alle potenzialita' di un software antivirus di rilevare o meno la minaccia Sunbelt blog pubblica una interessante articolo su un recente test di softwares antivirus eseguito da da Andreas Marx di Av-Test.org.

Ecco una traduzione del post

" .................................

Abbiamo appena finito un nuovo test di confronto AV software. Tutti i prodotti sono stati aggiornati al 7 gennaio 2008 e testati su Windows XP SP2 (in inglese).

In primo luogo, abbiamo verificato il rilevamento che utilizza la "signature-based on-demand detection" usando samples di malware diffuso nel corso degli ultimi sei mesi (questo significa che non abbiamo utilizzato campioni relativi ad un archivio "storico")
Abbiamo incluso le categorie appartenenti a :trojan, backdoors, bot, worm e virus.
Abbiamo classificato il prodotto da "molto buono" (+ +), se lo scanner ha rilevato oltre il 98% dei campioni sino a (-), quando meno del 85% delle Malware è stato rilevato.

In secondo luogo, abbiamo verificato il numero di falsi positivi generato durante la scansione di file puliti. Solo i prodotti senza falsi positivi ricevuto un "molto buono" (+ +) di rating.

In caso di rilevamento proattivo oltre a verificare la " signature- and heuristic-based proactive detection" abbiamo anche controllato la qualità di comportamento di software che usano "included behavior based guard" ad esempio Deepguard di F-Secure e TruPrevent di Panda.

Inoltre, abbiamo verificato quanto tempo le aziende che producono questi softwares di solito aggiornano il prodotto in caso di nuovi malware diffusi sulla base di 55 diversi campioni provenienti da tutto l'anno 2007. La classificazione "Molto buona" (+ +) e stata assegnata a produttori in grado di reagire in meno di due ore.

Un'altra interessante prova è stata l'individuazione di campioni di rootkit attivi.
Mentre è banale per uno scanner rilevare rootkits inattivi utilizzando una firma, può essere veramente delicato rilevare questo perverso malware quando e' attivo e nascosto.

Abbiamo controllato il rilevamento dello scanner rootkit nei confronti di 12 differenti codici rootkit.

I risultati del test in formato PDF. sono scaricabili da qui per il riassunto dei test e tutti i dati del test di rilevazione della firma da qui.


.................................."

Come commento al post si puo dire che i risultati sembrerebbero anche in linea con quello che appare dai recenti report generati quando si usa Virus total e cioe' ad esempio il fatto che Nod32 ultimamente ha mostrato problemi specialmente con la rilevazione di nuove varianti malware quando viene usato il riconoscimento in base alla firma del virus e come risposta a nuove varianti.
Guardando sempre la lista in base al numero di malware riconosciuti dalla firma si vede che anche Kaspersky un tempo ai primi posti adesso sembrerebbe avere qualche problema.
In controtendenza rispetto a quanto si vede su Virus Total invece e' Panda Antivirus che supera anche Nod32 come positivi rilevati in base alla firma anche se al riguardo dell'aggiornamento su nuovi virus o mutazioni degli stessi non e' ai primi posti.
Per concludere, dalla lista dei risultati complessivi si vede che non esiste un software che abbia raggiunto voti massimi su tutti i test eseguiti ma ce ne sono alcuni che comunque hanno un buon comportamento su tutte le tipologie di analisi eseguite.

Aggiornamento pomeridiano del 23 gennaio
Come si vede da una nuova scansione del file withlove.exe nel pomeriggio del 23 gennaio il numero di software che rilevano la minaccia malware si e' nuovamente ridotto


Adesso sia Kaspersky che F-secure, Webwasher ed anche DrWeb sono tornati a non rilevare il malware.
Molti altri nomi importanti di AV sono sempre fuori dalla lista dei positivi come gia' visto mel precedente report. (Symantec, Nod32 , MCAfee, Prevx ecc....)

Edgar

martedì 22 gennaio 2008

Una curiosa analisi grafica di spam Storm Worm

Sophos pubblica una curiosita' al riguardo dell'attivita' di spam relativa alle mails con link a malware (withlove.exe e with_love.exe) inviate dalla rete botnet Storm Worm in questi ultimi giorni.

Monitorando l'invio delle mail si e' visto che l'epidemia di spam è ben lungi dall'essere terminata
e si e' ottenuto un grafico che mostra la quantita' di mails inviate con la presenza di un andamento ciclico con 3 picchi nel corso delle 24 ore.


Per spiegare la presenza di questi picchi e' stata estratta una parte del grafico che rappresenta un intervallo di due giorni.
Dopo averne capovolto la direzione e allineato la traccia per le 10 ora locale, in quanto questo è il momento in cui si presume la maggior parte della gente dovrebbe avere i loro PC acceso, il grafico e' stato sovrapposto ad una mappa del mondo.

Come previsto, si vede che i picchi di spam possono essere facilmente attribuiti a computer online in parti del mondo dove la presenza di macchine infette e' piu' alta e queste zone corrispondono a quanto si e' gia' osservato in precedenza al riguardo alla diffusione delle reti botnet.


Edgar

Aggiornamento Storm Worm 22 gennaio

Continua la bassa percentuale di positivi sui files eseguibili linkati dalle pagine Storm Worm

Come si vede la continua mutazione del codice pericoloso comporta una altrettanto continua variazione nei nomi dei software, veramente molto pochi, che rilevano la minaccia.
Inoltre sembra che il codice del malware, contrariamente a precedenti download, muti velocemente e non come accadeva le prime volte ogni 15 ... 30 minuti.

Pare anche che sia Anubils che Sunbelt Sandbox abbiano difficolta' ad eseguire nel loro ambiente protetto il file malevolo ed i reports ottenuti non rilevino attivita' pericolose. (creazione di files, threats attivi ecc....)

Edgar