domenica 28 dicembre 2008

Links a falsi AV

(postato dall'Italia)

Come sempre consiglio chi volesse visitare i links elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.

Si tratta di due IP


che un report webscanner


evidenzia come pagine

dnserrorname(dot)com
dnserrorz(dot)com
fastshortcuts(dot)com
fghin(dot)com
homepageonweb(dot)com
linkfordesktop(dot)com
misdnspage(dot)com
onenewtoolbar(dot)com
qpwoi(dot)com
renamehomepage(dot)com
renamehomepage(dot)com\security\xp
safesurfingpage(dot)com\security\xp
startedwebsite(dot)com\security\vista
startedwebsite(dot)com\security\xp
toolbarfornew(dot)com
waysofsecurity(dot)com
websafenotice(dot)com


tutte con redirect su questa pagina di falso scanner

con whois

e che come vediamo propone a seconda della chiave numerica presente sull'indirizzo della pagina una serie di diversi layout


E' interessante notare che , nonostante questo genere di pagine con layout simile sia da tempo visibile su diversi siti di falsi AV, il file eseguibile di setup dell'applicazione fasulla


sia pochissimo o per nulla riconosciuto dai software presenti su VT, segno di un continuo aggiornamento dei codici della falsa applicazione.

Edgar

sabato 27 dicembre 2008

New Blue Pil

(postato dall'Italia)

Un breve aggiornamento su uno dei piu' comuni sistemi utilizzati per pubblicizzare links e pagine che propongono viagra e derivati.

Si tratta questa volta di 2 siti di Amministrazione Pubblica Italiana

che vengono utilizzati per hostare al loro interno pagine di questo tipo

di cui vediamo un whois
che dimostra appunto come il contenuto html sia presente sul medesimo dominio e server esaminato
Inoltre oltre all'inserimento di pagine nascoste viene anche attuata sulla homepage l'aggiunta di links che puntano a siti di pharmacy.

Considerato che questo sito comunale fa parte di un gruppo di siti con simile layout e raggiungibili da menu' presente sulla home, e''interessante notare come, anche almeno un altro sito comunale simile sia stato vittima di questo genere di attacco.

Una ricerca in rete mostra, la data dell'ultimo rilevamento del problema da parte dei motori di ricerca sia piuttosto recente.

Da notare anche l'alto numero di pagine inserite e presenti nella ricerca.

Come sempre trattandosi di pagine nascoste e di links rilevabili spesso solo dall'uso di un User Agent appropriato (es. Googlebot) chi amministra i siti rimane quasi sempre all'oscuro del problema che rivela probabili vulnerabilita' piu' o meno pericolose ma anche genera traffico internet inutile nei confronti del server che ospita le pagine.

Edgar

giovedì 25 dicembre 2008

Aggiornamenti Asprox

(postato dall'Italia)

Come si legge su alcuni blog USA che si occupano di Internet sembra che, anche se non in maniera estesa come in passato, la botnet Asprox continui a mantenersi attiva anche attraverso il tentativo di distribuire malware allo scopo di consolidare la sua presenza in rete.

Secondo alcuni blogs sono ora presenti in rete nuovi siti che attraverso il consueto sistema di scripts inseriti all'interno di normali pagine web , tentano di scaricare alcuni files pericolosi.

Anche se al momento sembra che il codice java non sia piu', online sui siti che lo distribuiscono e' interessante notare come una buona quantita' di pagine .IT sia stata coinvolta in questa nuova ondata di attacchi e presenti attualmente le tracce degli script pericolosi.

Ecco alcuni siti di riferimento per la distribuzione del malware Asprox:

* www(dot)bnmd(dot)kz
* www(dot)nvepe(dot)ru
* www(dot)mtno(dot)ru
* www(dot)wmpd(dot)ru


Da una ricerca in rete abbiamo alcuni siti .IT che presentano lo script che punta a queste pagine, come risulta da un report eseguito con Webscanner dove vediamo alcuni siti italiani compromessi e con ancora online le tracce dell'attacco subito

Ecco alcuni esempi con relativo source:



E' probabile che alcuni di questi, siano siti non piu' amministrati ma che comunque risultano al momento online e quindi soggetti ad attacchi di questo tipo.

Edgar

Aggiornamento sulla distribuzione di falsi AV attraverso links su siti .IT

(postato dall'Italia)
Continua la distribuzione di links a falsi AV attraverso la presenza di pagine nascoste all'interno di siti web anche .IT
Qui vediamo ad esempio la homepage attuale di una azienda di arredamenti italiana

che contiene una notevole quantita' di links in maniera nascosta che vediamo in questo dettaglio (con Noscript attivo su Firefox)

anche su pagine diverse dalla homepage

e che puntano tutti ad altre pagine inserite sia all'interno dello stesso sito che a pagine ospitate su altri siti con un layout che ci ricorda pagine di blogs.

Come gia' visto in altri post le pagine su cui si viene reindirizzati seguendo i links hanno al loro interno un javascript offuscato

che deoffuscato

punta a falsi scanners online con relativo link automatico a files eseguibili di install

I falsi files eseguibili di install sono riconosciuti, come indica una scansione VT solo da alcuni dei 'reali' softwares AV

Ecco un altro esempio di pagina, appartenente questa volta a sito di Universita' italiana che come vediamo nel sorgente della homepage

presenta centinaia di links nascosti che a loro volta puntano a pagine come questa

Anche in questo caso dalla pagina linkata si viene poi reindirizzati a sito di falso AV.

In ogni caso si tratta sempre di links che, come si vede da un log

coinvolgono diversi siti che in sequenza puntano al sito 'finale' che contiene il file di install del falso scanner di cui viene proposto un download automatico con notevole insistenza

L'uso di links in sequenza permette, a chi gestisce la 'distribuzione' dei falsi AV visti ora, di variare facilmente il tipo di pagina finale proposta e naturalmente anche i contenuti della stessa passando da falsi AV anche a files malware ecc.....

Edgar

mercoledì 24 dicembre 2008

Hacking quotidiano 24 dicembre

(postato dall'Italia)

Continua in rete la presenza di siti .IT che ogni giorno subiscono azioni di hacking che normalmente , tranne alcuni casi come quello postato ieri, si limitano ad inserire pagine contenenti testi ed immagini riferite a chi ha effettuato l'attacco al sito o proclami di varia natura..

C'e' comunque da notare che ultimamente le pagine di hacking contengono sempre piu' frequentemente oltre che alle normali scritte e immagini anche script java, links a file multimediali ma anche come in un caso che vedremo persino il codice che attiva una chat sulla pagina.

Questo il report webscanner

su IP

appartenente a hoster italiano che oggi presenta un certo numero di siti che hanno inserito al loro interno questa pagina

oppure questa che riproduce una animazione che simula la ricezione di un messaggio ricevuto su terminale video

Queste invece altre pagine che oggi sono andate a sostituire la hompage di siti .IT rendendone impossibile la consultazione.

ed anche

Per finire invece alcuni siti .IT che presentano la homepage sostituita da una chat in linguaggio flash

Come si vede il numero di siti .IT che subiscono quotidianamente hacking e' sempre rilevante, e questo denota la continua e ripetuta presenza di vulnerabilita' sulle singole pagine , siti od anche a volte su interi server web che potrebbero, come succede sempre piu' spesso, essere utilizzate per phishing, distribuzione links a malware, exploit ecc.....

Edgar

martedì 23 dicembre 2008

Hacking quotidiano 'pericoloso'

(post pubblicato dall'Italia)

Come sempre consiglio chi volesse visitare i links elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.

Ormai da parecchio tempo siamo abituati vedere quotidianamente on line siti anche .IT compromessi con l'inserimento in maniera nascosta di codice html oppure con la homepage, sostituita, da pagine contenenti testi ed immagini di solito riferiti all'hacking del sito colpito oppure con proclami di vario genere.

Normalmente , e fortunatamente, fino ad ora, si trattava comunque di hacking che portava, come unico problema, al blocco del sito colpito, ma molto spesso neanche a questo in quanto la pagina era inserita in maniera nascosta all'interno dello stesso.

Questa volta invece, ci troviamo di fronte ad un diverso genere di pagina, inserita all'interno della quasi totalita' di siti su IP di hoster italiano

che se in apparenza sembra una delle 'solite' pagine di haking che siamo abituati a vedere ogni giorno, in realta' e' ben diversa

Infatti questi siti .IT (report webscanner)

presentano la pagina

che ricalca come layout una delle tante di hacking gia' viste in passato

Esaminando pero' il sorgente abbiamo la sorpresa

Infatti all'interno del codice esiste uno script offuscato che deoffuscato presenta tutta la sua pericolosita'

Si tratta di exploit che, tra l'altro, tenta di scaricare eseguire questo file

hostato su sito francese e e che VT identifica come


Una analisi con Anubis conferma la pericolosita, del file che sembra tentare di connettersi a questo IP

che come si vede e' di medesima provenienza di chi ha effettuato l'hacking dei siti. visti ora.


Anche se al momento sembra un caso isolato, la compromissione in massa di questi siti IT con codice pericoloso, dimostra come la possibilita' che si passi da semplici pagine con proclami di varia natura a veri tentativi di colpire chi naviga in rete sia tutt'altro che remota e potrebbe estendersi facilmente in breve tempo ad altre pagine IT.

Edgar