sabato 29 novembre 2008

Aggiornamento 29 novembre 08 attacco a siti .IT su server Tiscali

A piu' di 3 settimane dall'attacco portato a centinaia di siti italiani su server Tiscali vediamo la situazione attuale per quanto si riferisce sia alla bonifica delle pagine colpite che all'eventuale pericolo per chi le visitasse.

Al momento di scrivere il post e prendendo come riferimento la lista base dei siti colpiti utilizzata per le precedenti verifiche risultano 121 siti con script offuscato

e 19 con ancora incluso nel codice della pagina lo script in chiaro



Rispetto ai numeri iniziali ( circa 135 siti con script offuscato e circa 35 con quello in chiaro) si puo' notare che per il momento la bonifica e' ancora molto scarsa.

Si puo' anche notare che risulta una percentuale maggiore di siti bonificati per quelli che presentavano lo script in chiaro mentre per quelli con script offuscato la percentuale di siti 'ripuliti' e' molto minore facendo sorgere il dubbio che chi gestisce i singoli siti web individui piu' facilmente come pericoloso l'indirizzo malevolo se scritto in chiaro che il codice javascript quando inserito in maniera offuscata.
Dei servers che hostavano la pagina degli exploit linkati dagli script almeno uno e' ancora attivo

con whois

rappresentando quindi sempre un pericolo per chi visitasse uno dei siti che ospita lo script.

Edgar

venerdì 28 novembre 2008

Aggiornamento 28 novembre fake Av su Moodle

In linea con quanto si osserva in rete anche su altri siti, i codici del file di install del falso AV distribuito su Moodle, sono sempre sotto costante 'aggiornamento' del codice.

Questo come appariva un report VT questa mattina

e questo nel pomeriggio

Come si vede sono ben pochi i softwares che riescono ad evidenziare il falso AV.

Edgar

Aggiornamento distribuzione di falsi AV attraverso centinaia di blogs fasulli su Blogger

NOTA importante
Consiglio chi volesse visitare i siti elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.

Sembra che la distribuzione di false applicazioni antivirus sia in pieno sviluppo e si assiste sempre di piu' a links a falsi scanners online anche su pagine con contenuti per adulti che sino ad oggi distribuivano in preferenza solo malware.

Alcune ricerche in rete hanno portato ad individuare questa pagina tuttora attiva

hostata su sito di free web hosting Usa, che contiene 500 indirizzi di altrettanti blog fasulli su Blogger.

Si tratta di blogs creati con lo scopo di linkare, attraverso reindirizzamento automatico, su falsi scanners online

e per le successive visite del blog, su altre pagine come ad esempio quella di Adult Friend Finder (attraverso il riconoscimento dell'IP).

E' interessante notare che molti dei links puntano al medesimo layout di pagina di falso scanner AV , anche se su differente server,

che distribuisce il file eseguibile di un installer gia visto aggiornato su siti Moodle odierni .
(il nome del file come sempre varia nella parte numerica a seconda del links di riferimento)

Il riconoscimento del file come fake AV e' al momento NULLO
Ed ecco un'altra pagina di fake AV a cui si viene reindirizzati visitando uno dei falsi blogs

con whois

Aggiornamento 28 novembre

Ia pagina web che ospitava la lista di falsi blogs blogger e' ora offline (probabile intervento di chi gestisce il sito di free web hosting che la ospitava) mentre i blogs su blogger sono ancora attivi.

In compenso e' ora online un'altra pagina con links a falsi blogs blogger diversi rispetto ai precedenti visti oggi.

pagina che viene ospitata da un altro sito USA di spazi web gratuiti.

Edgar

giovedì 27 novembre 2008

Aggiornamento 27 novembre fake Av su Moodle

A conferma del costante 'aggiornamento' del falso antivirus linkato dai siti Moodle il file eseguibile non viene piu' riconosciuto come accadeva ieri da McAfee ma ora da

Continua quindi attivamente l'uso della tecnica della continua modifica del codice linkato per creare un installer di falso AV difficilmente rilevabile della applicazioni AV reali.

Edgar

mercoledì 26 novembre 2008

Aggiornamento 26 novembre siti Moodle su dominio .IT

Continua il costante 'aggiornamento' dei falsi profili utente anche su siti Moodle italiani.

Una ricerca in rete conferma infatti che anche nelle ultime ore e' continuato l'inserimento di falsi profili utente sui siti Moodle italiani.

Questo uno dei piu' recenti profili inseriti in un sito Moodle

Al momento non viene piu' fatta una verifica dell'IP di provenienza , come accaduto in precedenza, e una volta cliccato sull'immagine o i link presenti si viene connessi alla stessa pagina gia' vista di falso scanner AV

su server

che distribuisce questo eseguibile

NON riconosciuto da quasi tutti i principali softwares AV e che appare essere un installer di falsa applicazione AV

Anche cliccando una seconda volta, e per le successive, si viene sempre indirizzati sul falso AV

Da notare che il sistema adottato di linkare a sito intermedio che redirige su sito di fake AV (fornss(dot)com) consente una grande facilita' per chi gestisce il sistema, di modificare in tempo reale gli indirizzi a cui far puntare i links in Moodle.

Inoltre ancora una volta, vediamo che la tecnica di modificare spesso il codice linkato, tipica dei files malware, viene utilizzata ampiamente in questo caso creando un istaller di falso AV difficilmente rilevabile della applicazioni AV reali.

Edgar

riferimenti a precedenti post su Moodle:

http://edetools.blogspot.com/2008/10/uso-di-moodle-per-linkare-pagine-con_29.html

http://edetools.blogspot.com/2008/11/security-proscan-e-security-full-scan.html

http://edetools.blogspot.com/2008/11/continua-lutilizzo-di-moodle-per.html

http://edetools.blogspot.com/2008/11/aggiornamento-5-nov-distribuzione-falsi.html

http://edetools.blogspot.com/2008/11/aggiornamenti-10-novembre.html

http://edetools.blogspot.com/2008/11/aggiornamento-15-novembre-siti-moodle.html

martedì 25 novembre 2008

Hacking quotidiano 25 novembre 08

1) 18 su 19 siti risultanti da un reverse IP appartenente ad hoster italiano presentano una pagina inserita l loro interno che contiene questo messaggio

oppure

Ecco un report con Webscanner dei siti sull'IP in questione


2) Un indirizzo url appartenente a sito di Pubblica Amministrazione Italiana

presenta invece questa pagina che sostituisce l'originale

Come sempre, questo evidenzia vulnerabilita' che potrebbero essere utilizzate per diffondere malware, links pericolosi, spam ecc..........

Edgar

lunedì 24 novembre 2008

Aggiornamento false applicazioni antivirus

Ecco alcune nuove false applicazioni antivirus che presentano un layout del sito che le propone estremamente curato.

XP Protection Center

Si tratta di una recente applicazione antivirus fasulla di cui vediamo la homepage

e la pagina del download dell'installer




Un whois del sito punta a server USA mentre Virus Total evidenzia ancora una volta lo scarso riconoscimento del falso AV


Alcune altre applicazione fasulle AV le troviamo invece su un medesimo IP.

Si tratta di PC Privacy Cleaner, che viene distribuito attraverso differenti indirizzi web come vediamo nei due screenshoot,

ed anche di AdvancedPrivacySuite

tutti con il medesimo layout di pagina web

Inoltre sullo stesso IP abbiamo anche Spyware Remover 2009


che presenta un sito molto curato con FAQ e persino il download di un manuale in formato pdf.


I file coinvolti nell'installazione sono un installer che a sua volta scarica un file di setup


connettendosi al sito


che presenta indirizzi IP multipli

tra cui


Importante notare che mentre l'installer e' riconosciuto da alcuni softwares AV


il programma di installazione (setup dual) viene visto solo da due software AV in lista Virus Total.


Queste alcune videate del programma Spyware Remover 2009 in esecuzione

con il solito sistema di avvertire della presenza sul pc di malware attivo in realta' inesistente, e lasuccessiva proposta



di eliminare i codici pericolosi solo dopo aver acquistato il falso antivirus.

Edgar

domenica 23 novembre 2008

Aggiornamento antivirusdefense(dot)com

Il sito continua a proporre il fake AV sotto forma di installer attraverso questa pagina (la home al momento non linka piu' al file eseguibile)

La pagina del falso scanner online e' disponibile anche in altre lingue

Il nome del file di install, invece, puo' essere variabile in base al contenuto numerico della url che lo richiama, come vediamo da questi esempi in cui e' stata modificata la chiave numerica presente
Interessante notare che Virus Total denota una bassissima percentuale di software che riescono a rilevare la rogue appllication.


mentre due dei siti che si occupano di analizzare pagine web dimostrano qualche diversita' di valutazione
mentre Safe Web cataloga il sito come decisamente da evitare

ancora una volta Site Advisor si dimostra NON troppo restrittivo sul tipo di contenuti del sito catalogandolo solo come possibile fonte di spam.

Edgar