giovedì 29 ottobre 2009

I domini che linkano a false pagine di login Facebook

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

Una breve ricerca in rete ha portato ad individuare i nomi di dominio che attualmente , tramite il probabile utilizzo della Zeus botnet, distribuiscono il malware sotto forma di falso update tool per gli utenti Facebook.

La struttra della url che linka al phishing e' la seguente :(in azzurro la parte di url che referenzia l'indirizzo mail da fare apparire nel form di login)(vedi aggiornamenti nel post precedente)

Ecco una lista parziale (parte evidenziata in giallo della URL)

ed ecco un report eseguito con Webscanner dei siti attivi al momento

Come succedeva per i link hostati da Waledac Botnet, alcuni risultano non attivi, ed altri attivi solo ad intervalli di tempo.

Una analisi di piu' nomi di dominio coinvolti, lanciando piu istanza del tool Autoit che esegue un whois ciclico su tre differenti nomi ,

mostra ad esempio che vi sono anche IP italiani coinvolti nella distribuzione delle pagine di phishing.

Tra l'altro avvicinandosi il 31ottobre e la festa di Halloween vedremo se anche altre bootnet si attiveranno per proporre pagine e links pericolosi (qualcuno ricordera' ad esempio la pagina dello ' scheletro danzante ' (download the dancing skeleton" ) collegata alla botnet StormWorm nel 'lontano' 2007 ed online per Halloween)

Edgar

Facebook phishing con eseguibile pericoloso gestito da botnet

In queste ore si sta assistendo ad un notevole invio di mails pericolose con links a sito di phishing ai danni di Facebook.
(fonte immagine http://blog.appriver.com/)

Contrariamente alle mails con incluso come atachment un file zippato malware, in questo caso abbiamo un link diretto ai siti che vedremo ora.

Si tratta di migliaia di mails di spam con link a pagine di phishing con layout di falso account Facebook che redirige, a sua volta, su altra pagina, sempre fasulla, di download di un aggiornamento sotto forma di eseguibile pericoloso dal nome updatetool(dot)exe.
La nuova e-mail di phishing, che si maschera da un messaggio da Facebook, promette di offrire agli utenti un nuovo e piu' facile processo di login, attraverso l'aggiornamento della procedura di account.

Alcuni ricercatori confermerebbero inoltre l'impressionante numero di mail inviate utilizzando la botnet.
Si parla infatti di piu' di 1'000 mails al minuto per ogni nome di dominio gestito dalla botnet per un totale di 30.000 mails al minuto (al momento sarebbero gia' piu' di un milione e mezzo le mail inviate)

Inoltre l'attacco coinvolgerebbe pure gli account utilizzati sugli smartphone che utilizzano applicazione Facebook


Vediamo alcuni dettagli:

Questa la pagina fasulla di login proposta, (con in evidenza gli IP multipli di provenienza)


che confermano l'utilizzo di probabile tecnica fast-flux (in questo caso gestita da Zeus Botnet)
Una volta effettuato il falso login si viene portati su questa pagina, sempre gestita dalla botnet,

che invita a scaricare il file di update (trojan).
Una analisi VT vede al momento un riconoscimento abbastanza basso del malware


mentre come si nota da questo dettaglio i tempi TTL sono abbastanza brevi.

Una analisi con uno script Autoit della provenienza degli IP coinvolti mostra

con il consueto coinvolgimento di differenti nazioni.

Ulteriori dettagli su http://blog.appriver.com.


Aggiornamento

E' interessante notare come l'url della pagina di phishing accetti anche l'indirizzo mail da proporre automaticamente nel form di login.

In pratica si puo' creare un link che oltre che ad aprire il sito di phishing abbia gia' "precompilato' l'indirizzo mail del visitatore cosa che potrebbe invogliare ad effettuare il login pericoloso.

Edgar

Phishing BAPR e shell online (29 ottobre 09)

Ancora phishing ai danni di Banca Agricola Popolare Ragusa

e, cosa piu' rilevante, ai fini della sicurezza del sito compromesso, abbiamo Online una shell PHP

(eccone i dettagli)


e che permette l'accesso al server come vediamo da questo screenshot


Questa la homepage che indica la presenza di RoundCube Webmail

e questo un whois

Il link in mail punta direttamente al sito di phishing senza redirect intermedio.

Ancora una volta si vede come una azione di phishing introduca ulteriori problemi di sicurezza mettendo online e disponibile una shell, che permette a sua volta di accedere facilmente a molti dei contenuti del server colpito.

Edgar

mercoledì 28 ottobre 2009

2 in 1 - Phishing Intesa San Paolo del 28 ottobre 09

Altro particolare phishing, tra le tante mails ricevute, che presenta nello stesso messaggio, cosa non molto comune, 2 diversi links a differenti redirect su siti di phishing ai danni di Intesa San Paolo.


I due links puntano , il primo a sito compromesso con whois

che redirige su sito brasiliano compromesso

che ospita il phishing

Il secondo link punta a questo sito compromesso con whois USA (sito di news riguardanti uno stato africano)

che ospita due codici htm (date di ieri) uno dei quali redirige sul sito finale di phishing (whois USA) (anche qui date di ieri)

e registrato di recente su Yahoo.
Edgar

martedì 27 ottobre 2009

Alcuni consigli per prevenire Gumblar / Martuz / Nine-Ball (ma comunque utilizzabili per prevenire altri tipi di attacchi)

Collegato al post relativo alla ripresa in rete dell'attivita' di malware del genere Gumblar, ecco un riassunto del post pubblicato in giugno, ma sempre attuale, da blog.igothacked.com
e che riassume una serie di consigli utili per prevenire attacchi da parte di malware del tipo Gumblar.
Quanto pubblicato nel post in realta' puo essere anche consigliato per prevenire altri tipi di attacco.
Anche se riferito ad un ambiente di lavoro aziendale, e' inoltre applicabile anche ad una utenza 'casalinga', (sezione del post “lato Client”)

.............................
Cosa si puo' fare per prevenire questo tipo di attacco?

Lato client:

Assicurarsi che il software antivirus sia aggiornato.
Anche se vi e' un tasso molto basso di rilevamento su questi exploit, e' sempre consigliabile avere un antivirus installato e assicurarsi che sia aggiornato regolarmente.
Assicurarsi di eseguire Windows Update.
Assicurarsi di aggiornare sia Flash e Acrobat: Gli exploit Gumblar (ma anche altri) utilizzano vulnerabilita' individuate in Flash e Acrobat ma gia eliminate da Adobe.
Disabilitare l'accesso Javascript per Adobe Reader: Puo' essere utile (specialmente nel caso di nuove vulnerabilita' non ancora risolte).

* Cliccare su "Modifica" dalla barra dei menu file, poi "Preferenze".
* Dalla finestra di dialogo Apri, selezionare l'opzione "JavaScript"
* Deselezionare "Enable JavaScript Acrobat".
* Fare clic su "OK".


Utilizzare un client FTP sicuro, se disponibile.
Uno dei metodi che i pirati informatici usano per recuperare le credenziali FTP di accesso, e' quello di scovare le password come normale testo quando ci si connette al server FTP.
Se si utilizza un client FTP sicuro, le password non saranno inviate in formato testo o in chiaro.
Eseguire un programma anti-malware per verificare la presenza di Gumblar. (o di altri virus)
Cambiare le password frequentemente.
Installare un firewall lato client

Lato server:

Installare un server FTP che consenta connessioni sicure.
Creare una whitelist di tutti gli indirizzi IP o intervalli che sono attualmente consentiti per l'accesso al server FTP. Mettere tutto il resto in blacklist per bloccarne l'accesso.
Utilizzare un qualche tipo di applicazione o di routine che controlli i files nuovi o modificati sul server e verificare se le modifiche sono autorizzate.
Controllare regolarmente i file di log FTP per attivita' non autorizzate su base giornaliera o settimanale e rivedere tutte le connessioni in entrata sul file di log FTP ( controllare l'indirizzo IP che ha stabilito una connessione per verificare che sia autorizzato).
Assicurarsi di eseguire regolarmente un qualche tipo di applicazione per rilevare Root Kit ecc....
Utilizzare siti come Unmaskparasites.com, Wepawet ecc.... per controllare la presenza attuale di malware sul sito.
...........................................................................................

Questo il link al testo originale in inglese.

Edgar

lunedì 26 ottobre 2009

Aggiornamento malware e falsi AV (26 ottobre 09)

Continua la presenza di links nascosti su pagine di utenti myblog.it creati appositamente per diffondere collegamenti a siti di falsi Av o malware.

Ecco i links presenti (piu' di 1.500) in una attuale homepage di blog myblog che puntano tramite vari redirect sia a sito di falso scanner Av

che propone un file visto da VT come


ma anche questo falso player video

che se cliccato scarica un eseguibile (poco) visto da VT come


Da notare che il medesimo eseguibile e' anche 'scaricabile' da due falsi players linkati da post su forum IT.

Il primo con il consueto layout

mentre il secondo presenta questo layout leggermente diverso dal solito , ma in ogni caso sempre con il download del falso plugin identico a quello scaricato dai links myblog.


Oltre al fake scanner Av e il falso player, cliccando sui link presenti in myblog viene proposto in alternativa , questo layout di falso motore di ricerca, i cui risultati sono anche applicazioni poco affidabili o nuovamente links a falsi scanner Av o player video.

Questa la pagina dei risultati del sito di ricerche proposta seguendo uno dei links, che ad esempio punta ad un poco probabile sito di vendita di antivirus Microsoft

che in realta, dopo diversi redirect, carica nuovamente un falso player

che se cliccato scarica un eseguibile praticamente sconosciuto ad una analisi VT.

Edgar

domenica 25 ottobre 2009

Phishing PosteIT con regalo (25 ottobre 09)

Ricevute alcune mails di phishing tra cui questa ai danni di PosteIT che merita una analisi un poco piu' approfondita.


Come si nota si tratta dell'ennesimo premio PosteIT (un TV lcd Philips 22'')

Il messaggio in mail e' costutito dal link (evidenziato in verde) ad una sola immagine JPG hostata pero' su diverso sito da quello di phishing (whois yahoo)


Sul medesimo indirizzo che ospita l'immagine e' anche possibile trovare altri interessanti files (tra cui alcuni kits di phishing ai danni di banche IT):

Eccone una breve descrizione:

File 2.zip contenente il programma Hscan ed Hascngui (port scanner)

Italy .txt : file testo con elenco di ranges IP italiani

koresca.jpg : l'immagine JPG che simula il messaggio PosteIT in mail

monetaonline.tgz : kit di phishing Intesa Sanpaolo Moneta online

myshell.txt: codice di shell

pp2.zip : KIT phishing Paypal

servizi-online.tgz: KIT phishing PosteIT

sniff.zip : files relativi a programma sniffer

USA.txt : ile testo con elenco di ranges IP USA

www.monetaonlie.it.zip : altro KIT Intesa Sanpaolo

Sullo stesso indirizzo, tentando di esplorare altri folder , troviamo sempre un codice che esegue il redirect su google france.


Il sito che ospita invece la pagina di phishing, puntato dal link in mail (colore giallo nel source) risulta su sito probabilmente compromesso con whois:


Edgar

Siti compromessi (25 ottobre 09)

Attualmente circa 220 siti, ossia quasi la meta' di quelli hostati su :

tra cui anche questo su dominio.IT, presentano la homepage sostituita con


Questo il parziale report Webfolderscanner dei siti colpiti :

Anche questa volta, come succede di solito, si tratta di azioni che sono solo dimostrative senza che vengano proposti link pericolosi o malware.

Edgar

sabato 24 ottobre 2009

Revenge of Gumblar Zombies

I ricercatori di sicurezza Internet hanno annunciato una ripresa nella diffusione di Malware del genere Gumblar, che nel mese di maggio, a infettato migliaia di siti Web.

Questa volta pero' ci sarebbero importanti novita' sulla tattica adottata per diffondere il malware tra cui, la piu' importante, l'uso di siti Web compromessi per hostare gli exploit.

Chi gestisce la diffusione in rete di malware sa che e' solo una questione di tempo prima che un dominio "maligno" venga messo offline ma la nuova tattica, tuttavia, consente di disporre di vettori di attacco decentrati e ridondanti, sparsi in migliaia di siti legittimi di tutto il mondo.

Ecco quindi un post tratto da http://blog.unmaskparasites.com/ che mi pare interessante non solo per la notizia in se' del ritorno online di Gumblar ma perche' analizza in dettaglio, modalita' di diffusione e contromisure da attuare per ridurre il pericolo di questa nuova minaccia malware.

==================================================================
Revenge of Gumblar Zombies

Vi ricordate di Gumblar?, il massiccio attacco hacker che e' riuscito a infettare piu' di un centinaio di migliaia di siti web legittimi in un tempo molto breve questo mese di maggio?

L'infezione e' stata relativamente facile da individuare ma molto difficile da eliminare completamente. Infetta vari tipi di file e crea gli script backdoor in luoghi poco appariscenti del sito web in modo che i cybercriminali potrebbero facilmente ripristinare il contenuto dannoso.

Il Sito gumblar(dot)cn (e il suo immediato successore martuz(dot)cn) erano stati prontamente messi OFFline.
Come risultato, lo script dannoso iniettato nei siti compromessi e' diventato innocuo per i visitatori.
Tuttavia, molti webmaster non hanno adeguatamente ripulito i loro siti dopo l'infezione Gumblar, lasciando intatti gli script di backdoor.
Era stato previsto che chi gestisce questa distribuzione malware avrebbe trovato il modo di utilizzare questo esercito di siti web potenzialmente controllabili ed ora, cinque mesi piu' tardi, vediamo una nuova ondata di un massiccio attacco che somiglia a Gumblar per molti aspetti.

* Credenziali FTP rubate vengono utilizzate per iniettare contenuti dannosi in file esistenti.
* Script dannosi vengono iniettati sia nel codice HTML delle pagine web che in files js stand-alone.
* Script Backdoor sono caricati in directory di immagini. Essi hanno gli stessi nomi "gifimg.php" e "image.php"e il resto del codice PHP e' quasi identico , a quello durante l'attacco Gumblar.

Tuttavia, questo nuovo attacco, ha molte caratteristiche che lo rendono piu' resistente.

Injected Malicious Scripts (caratteristiche degli script dannosi iniettati)

Al posto del famigerato script offuscato, questa volta viene iniettato un tag che carica uno script esterno.
Questo script e' meno sospetto della presenza dello script offuscato lungo ed illeggibile utilizzato da Gumblar.

Lo stesso script viene iniettato dopo la parte di codici JavaScript (. Js) presenti nella pagina.

Un webmaster solitamente ricerca il codice dannoso in HTML mentre puo' dimenticare i files.js in quanto il loro contenuto non e' visibile quando si utilizza la funzionalita' "Visualizza sorgente pagina".

Su alcuni siti, ho notato che che agisce per diffondere Gumblar, gli hacker volutamente caricano script infetti dai nomi popolari (builder.js, effects.js, lightbox.js, Prototype.js, scriptaculous.js)
Alcuni webmaster non conoscono l'architettura dei loro siti 'abbastanza bene per individuare gli script infetti caricati, soprattutto quando questi hanno nomi di script benigni.


Un gruppo di host "maligni"

Su diversi siti compromessi un tag script carica il contenuto dannoso da host differenti. Al momento ho una lista di piu' di 60 URL di diversi server in tutto il mondo.

Inoltre, i cybercriminali aggiornano regolarmente il codice iniettato e il tag script sullo stesso sito puo' contenere diversi indirizzi di host sources in giorni diversi. Questo rende piu' difficile l'individuazione, se qualcuno tenta di eseguire la scansione dei file per specifiche URL malevoli.

Un altro effetto interessante che richiama l'attenzione degli specialisti di sicurezza e quello di utilizzare piu' server "maligni" ed ogni nuova URL puo' essere considerata come un caso indipendente (tra l'altro, ogni nuovo indirizzo propone files exploit leggermente diversi).

Nel caso di Gumblar, ogni sito compromesso puntava a gumblar(dot)Cn, sito che era il solo indicato dagli Antivirus.
Le societa' di sicurezza hanno impressionanti statistiche per i siti infettati con lo script Gumblar (da 60.000 a 200.000 siti).
Si parlava solo di Gumblar e la stampa ha parlato Gumblar. Come risultato di questa enorme pubblicita' il dominio gumblar(dot)cn era stato rapidamente messo OFFline (lo stesso e' successo a martuz. CN), cosa che di fatto ha interrotto l'attacco. Una singola fonte di contenuti dannosi era l'anello piu' debole di Gumblar, il suo unico punto di fallimento.

Ora che diversi siti compromessi puntano a vari indirizzi dannosi, non esiste un consistente flusso di informazioni circa l'attacco. La statistica di infezione per ogni URL non e' impressionante. Ogni indirizzo ad host maligno puo' riguardare un numero relativamente ristretto di siti (100 - 2.000) e questo non basta per parlare di una epidemia. Questo aiuta i cybercriminali rimanere in ombra anche nella fase attiva di attacco e significa anche che le societa' di sicurezza passano meno tempo a combattere la minaccia. Tuttavia, l'effetto complessivo di questo tipo di attacco puo' essere paragonabile a Gumblar. A questo punto ho rilevato oltre 5.000 siti unici compromessi e non credo che la mia lista sia completa.

D'altra parte, tutti parlano di indirizzi diversi ed e' difficile trovare un denominatore comune e vedere l'intero quadro della situazione. Cercando di risolvere lo stesso problema, webmaster di diversi siti sono alla ricerca di informazioni sulle diverse URL pericolose e di conseguenza, non riescono a trovare una sola fonte di informazione. Cio' rende piu' difficile per i webmaster trovare le informazioni pertinenti e pulire in modo efficace i loro siti. Come risultato l'infezione col passare del tempo aumenta.

Cerchero' di raccogliere tutte le informazioni su questo tipo di attacco con tutti gli URL maligni conosciuti, in modo che i webmaster dei siti interessati possano verificare gli indirizzi, indipendentemente dallo script trovato sui loro siti.
(segue elenco siti compromessi)
Questo elenco non e' completo. Cerchero' di aggiornarlo quando trovo nuove URL pericolose.

A questo punto, il tratto distintivo di queste URL e che esse fanno tutte riferimento a uno script PHP in una sotto-directory di un sito di terze parti e se trovi uno script esterno con un indirizzo ad uno degli indirizzi web di cui sopra, assicurati di leggere il resto di questo post.


Siti WEB Zombie.

Gli script maligni risiedono su siti legittimi compromessi. Questa e' probabilmente la caratteristica piu' innovativa di questo attacco. Non si puo' semplicemente chiudere i siti o i nomi a dominio poiche' appartengono a legittimi siti.
Naturalmente, i siti possono essere sulla lista nera (per esempio di Google), ma a questo punto meno del 20% di essi sono elencati come sospetti (soprattutto a causa di altri problemi piu' vecchi).

Non ho mai visto sfruttare direttamente siti compromessi per piazzarci i files exploit.
I siti legittimi sono stati utilizzati per reindirizzare i visitatori , in maniera silenziosa, su siti che appartenevano ai cybercriminali.
Qualche volta sono state create pagine spammy su siti legittimi (es. per SEO con lo scopo di avere link non blacklistati per le loro e-mail di spam.) ma non mi ricordo siti compromessi che venivano sfruttati per proporre files exploit.
La ragione principale e' che probabilmente questo tipo di attivita' puo' essere facilmente individuata dai proprietari dei siti compromessi: aumentato utilizzo della banda utilizzata, ecc .....
Uno script iniettato in iframes e' piu' conveniente per chi compromette i siti dal momento che non lascia alcuna traccia nei registri e non influenza l'utilizzo della larghezza di banda.

Allora perche' utilizzare siti compromessi ora? Non hanno forse paura di essere smascherati? Credo, di no ed ecco perche':

Dopo l'attacco Gumblar monitorando siti infetti da qualche mese ho notato che molti proprietari del sito non hanno neanche tentato di rimuovere il contenuto dannoso.
Alcuni dei siti potrebbero essere stati abbandonati (ma i loro nomi di dominio e hosting sono prepagati e possono esistere in uno stato incustodito per qualche tempo), altri siti sono semplicemente mal gestiti da webmaster ignoranti che non hanno la minima idea su minacce alla sicurezza. Ora chi gestisce Gumblar ha un gruppo di siti che puo' usare senza il rischio di essere smascherato rapidamente dai proprietari del sito.
Allo stesso tempo, il loro nuovo modello distribuito (uso di fonti multiple di contenuti dannosi) riduce significativamente l'utilizzo di risorse di ogni singolo sito. Anche siti presenti in hosting condiviso sono in grado di gestire il carico.
E non importa se alcuni dei loro siti zombie vengono chiusi - hanno molti zombie a loro disposizione. Con la loro botnet di client-zombie, possono aggiornare rapidamente i codici maligni sui siti compromessi per fare riferimento ad un nuovo host.

Molto comodo, non e' vero? I cybercriminali non devono piu' preoccuparsi di server abuse-proof e della loro larghezza di banda. Non c'e' bisogno di registrare centinaia di nomi di dominio che diventano ben presto una lista nera. Hanno a disposizione siti usa e getta, quindi perche' non farlo gratuitamente a spese del webmaster che non si cura del proprio sito?

Malware

Il codice maligno sui siti zombie viene generato al volo. Ogni volta che si ricarica la pagina PHP si ottiene una copia differente del JavaScript offuscato. Cio' puo' impedire l'individuazione dello script dagli strumenti di AV che si basano esclusivamente sulle firme digitali.

Il codice maligno dipende dalla versione del browser web e sistemi operativi. Si ottiene un codice diverso per IE6, IE7, Firefox (non ho provato altri browser). E se siete su Linux otterete semplicemente il codice 404 –not foud error.

In questo modo gli hacker cercano di sfruttare le vulnerabilita' conosciute dei computer visitatori '.

Ad esempio, in tutte le versioni dello script che tenta di caricare un file PDF "maligno", se rileva che "PDF.PdfCtrl" o "AcroPDF.PDF" (Adobe Reader o Adobe Acrobat) e' installata la versione del prodotto piu' vecchia della 9,0, ma non della 8.1.3 (versione corrente e' la 9.2.0)

Un altro exploit universale e' un file di Flash per il "ShockwaveFlash.ShockwaveFlash.9" (Shockwave Flash) plugin se la sua versione e' piu vecchia della 9,124 (versione corrente e' la 10.0.32.18)

Come si puo' vedere, il malware ha come obiettivo vulnerabilita' piuttosto vecchie, corrette circa un anno fa. Mi chiedo, quanti navigatori del web non si siano preoccupati di aggiornare i plugin? Sembra che siano in molti.

Ogni sito zombie serve binari leggermente modificati. Una settimana fa i files facilmente passavano il controllo di VirusTotal inosservati. Oggi ho controllato ed il PDF e' stato individuato come "maligno" da 5 dei 41 strumenti AV e il file SWF e' stato rilevato da 4 dei 41 strumenti di AV.

In caso di IE7, gli hacker cercano anche di sfruttare le vulnerabilita' in "OWC10.Spreadsheet" / "OWC11.Spreadsheet" plugins. It's Office Web Components. In altre parole, MS Excel che lavora all'interno di Internet Explorer.

Per IE6, provano un VBScript che scrive semplicemente un trojan. Exe nella cartella Esecuzione automatica del menu Programmi di Windows. (State ancora usando IE6 ?)

Non solo gli hacker hanno come bersaglio diversi browser, ma anche come target diversi paesi. Su ogni server zombie ho trovato un file binario (1 ottobre 2009) MaxMinds GeoLite, database di geolocalizzazione degli IP

Backdoor script

Le Backdoor script sono quasi identiche a quelle utilizzate durante la fase dell'attacco Gumblar.

Script con il nome "image.php" e "gifimg.php" si possono trovare nelle directory dei siti compromessi....................

Uno degli script esegue il codice PHP che gli hacker passano attraverso una richiesta HTTP POST.Vengono usate le richieste POST, perche' a differenza di richieste GET, non lasciano alcuna informazione sui parametri passati nei log del server web. Quindi non e' possibile rilevare eventuali attivita' sospette quando si guarda attraverso i log del server..............

Pagine di errore

Su alcuni server 404 (pagina non trovata) e 403 (proibito) le pagine di errore sono state infettate con i tag script dannosi.


Furto di credenziali FTP

Come Gumblar, questo tipo di attacco ruba le credenziali FTP. Questa circostanza e' stata confermata dai servizi di sicurezza dei provider di web hosting che hanno ispezionato i registri FTP.

In maggio, il comportamento Gumblar e' stato testato su un computer Windows intenzionalmente infettato. Il test ha dimostrato che il malware ruba le password salvate nei programmi FTP (FileZilla in questo caso).

E 'stato anche notato che Gumblar (in questo nuovo attacco) infetta i siti che sono stati precedentemente infettati con iframe maligni nascosti. L'attacco ruba le credenziali FTP dal file di configurazione di 10 piu' popolari client FTP. Il ................


Rilevamento

Warning: Il caricamento siti web in un browser Web con JavaScript abilitato puo' essere pericoloso.

E 'una buona idea usare qualcosa come NoScript che permette solo l'esecuzione dello script di domini trusted. In questo modo, se si vede un avvertimento che alcuni script sono stati bloccati sul tuo sito, si puo' essere certi che qualcosa non va e si dovrebbe eseguire la scansione dei file sul server per gli script sospetti.

E' inoltre possibile Unmask Parasites. . Tuttavia, poiche' la maggior parte dei siti zombie non sono ancora in lista nera da parte di Google, non vedrete avvertimenti. Tuttavia, gli script dannosi saranno elencati nella sezione riferimenti esterni e si dovrebbe essere in grado di individuare i nomi di dominio sconosciuto.

Per individuare questa infezione, effettua la scansione di ogni file sul server per i tag script che fanno riferimento a strani script PHP che puntano a sottodirectory di siti sconosciuti di terze parti. Si trovano di solito a destra prima del tag . Come webmaster dovresti sapere che script appartengono al tuo sito e quali no.

Assicurati di controllare tutti. File js.

Quindi cerca script backdoor con la scansione dell'intero albero di directory per i file con i nomi "gifimg.php" e "image.php". Essi si trovano di solito in directory denominate "immagini" .

Quindi cerca i files che contengono eval "(base64_decode (...))" codice di solito e' usato per nascondere codice maligno.

Non dimenticare di controllare le pagine di errore personalizzate.


Istruzioni per la rimozione

1. Iniziare dal proprio computer (questo soprattutto per gli utenti Windows).
Eseguire la scansione di virus e spyware. L'uso di almeno due diversi AV e strumenti anti-spyware. (In maggio, Malwarebytes e' stato segnalato per essere in grado di rilevare il malware)
2. Una volta che il computer e' pulito, assicurarsi che il software sia aggiornato (questo passo aiuta a prevenire la reinfezione del tuo PC):
Windows Update (Microsoft Questa ottobre ha rilasciato correzioni per la protezione di molte vulnerabilita' critiche)
Utilizzare un browser recente (suggerisco Firefox 3.5 con l'estensione NoScript). Se si utilizza Internet Explorer 6 - aggiornamento ASAP!
3. Aggiornamento di Flash e Adobe Reader - questo tipo di attacco usa le vulnerabilita' nelle versioni precedenti (A partire dal 23 ottobre 2009 le versioni attuali di questi plugin dovrebbe essere: Flash: 10.0.32.18; Adobe Acrobat / Reader: 9.2.0)
4. Cambiare tutte le password del sito. Non salvate nuove password nel vostro FTP client, se non volete che siano rubate di nuovo. Considerare l'utilizzo di protocolli sicuri (FTPS o SFTP) invece di FTP.
5. Bonifica del sito. Questo attacco hacker modifica un sacco di file e crea script backdoor in luoghi poco appariscente quindi sarebbe molto difficile da rimuovere manualmente i contenuti dannosi da ogni file infetto. E se non si riesce a rimuovere anche uno script di backdoor, il rischio di reinfezione sara' elevato.
Il modo piu' semplice e' quello di eliminare tutti i file sul vostro sito e caricare una copia pulita da un backup (assicurarsi che il backup non e' infetto). Non dimenticate i files di configurazione e le pagine di errore personalizzate.
Non dimenticare di controllare regolarmente il sito per problemi di sicurezza.
================================================================

Questo un riassunto dei contenuti apparsi su unmaskparasites a cui rimando per la lettura del post originale ( in lingua inglese ).

Edgar

venerdì 23 ottobre 2009

Blogger.com OFFline per circa due ore

Chi oggi dalle 13 alle 15 circa ora Thai (dalle 8 alle 10 Am in Italia) si collegava ai Blogs hostati su Blogger trovava questo messaggio (questa la home di blogger)

questo un blog italiano


e questo il blog che state leggendo

In rete era anche possibile trovare messaggi come questo su Twitter

che informavano del problema in corso.

Dopo circa 2 ore, i blogs che erano Offline sono tornati attivi.

Si e' trattato di un problema che sembra non aver coinvolto la totalita' dei blogs presenti su blogger, in quanto alcuni continuavano ad essere online ( con IP diverso da quelli OFFline)
Il fatto ricorda i recenti problemi avuti da GMail quando il primo settembre era per circa due ore rimasta non raggiungibile tramite l'interfaccia Web mentre il servizio POP continuava a funzionare.

Per finire ecco la conferma del blackout stimato in oltre un'ora (qui in Thai, il periodo di Offline e' stato di circa 2 ore).

Edgar

Driver Phishing, chi e' Trentin Lagrange ?

Continuo sul'argomento drivers e false pagine per il loro download riportando un interessante post che ho trovato in rete.

Il post apparso in questi giorni sul blog http://www.loosewireblog.com/2009/10/driving-phishing-ii-or-who-is-trentin-lagrange.html propone alcune considerazioni interessanti ed aggiunge nuove informazioni a quanto scritto ieri.

Come appare nel titolo del post si inizia analizzando la ripetuta presenza di un 'testimonial' sui vari siti (che vedremo sono molti) e che propongono l'alternativa dell'eseguibile driver-robot invece che i reali driver cercati.

“ .................. Ecco quanto appare sui tutti i siti collegati a driver-robot "Ho una nuova scheda grafica, ma il framerate e' stato terribile, e il sito web del produttore non ha aiutato affatto. Si scopre che il driver fornito con la scheda e' vecchio di 6 mesi Driver Robot mi ha aggiornato automaticamente i drivers , e ora il mio intero sistema e' piu' reattivo, soprattutto con i giochi " firmato :Trentin Lagrange, CA .

L'aspetto positivo di un nome come Trentin Lagrange e' che non e' cose' comune.
Non e' come le altre due testimonianze, che provengono da un Tim Whiteman e Susan Peterson (hanno anche loro avuto risultati positivi con Driver Robot, ma niente come Trentin.) ------------------------------------” Il post prosegue evidenziando come in effetti ci sia l'indicazione sulle pagine che propongo il programma che si tratta di siti che non hanno niente a che fare con le reali aziende proposte....

“.... solo se si scorre verso il fondo della pagina e si clicca sul link "Chi siamo" si arriva alla verita' e cioe' che si tratta di un sito che non ha niente a che fare con quelli reali di aggiornamento drivers.... anche se nel caso di driverforhp.com, con banner HP in alto, non c'e' la smentita del sito, di non essere essere associato ad hp

Un altro sito, atidriverscenter.com, sembra esser chiuso.
E 'stato attivo nel mese di luglio, sino a quando una persona si e' lamentata su un forum. Beh, forse no. Questo sito, atidrivercare.com, e' ancora in funzione
In ogni caso alcune aziende sembrano stare a guardare.

Il ruolo di Google

Tutti questi siti appaiono come sponsorizzati da Google sopra i risultati di una ricerca cercando i driver del produttore (driver HP, ecc) con collegamenti, ad esempio, "HP drivers ufficiali ed aggiornamenti":
Per molti utenti questi links sponsorizzati sono considerati come normali risultati della ricerca, ma anche il termine sponsorizzati viene inteso come “links proposti e verificati da Google” , cosa che farebbe loro pensare che stanno facendo clic su qualcosa di ufficiale. ..........................”

Aggiungo anche, che i links sponsorizzati Google (notare bene links sponsorizzati e non links come risultati) hanno:

1) Una grafica pressoche' identica ai normali risultati Google (se si esclude un colore di sfondo, almeno sul mio browser, leggermente (poco) diverso) ed anche font, colore e stile del testo utilizzato identico ad un normale link risultato.

2) La presenza di una scritta “sponsored links' (o "links sponsorizzati") che, oltre che ad essere poco evidenziata e' facilmente interpretabile come afferma il post in “...... annuncio sponsorizzato come risultato di una normale ricerca anche verificata da Google (in altre parole se Google sponsorizza un annuncio ci si puo' fidare....!!!) , pensando cosi' che si' sta facendo clic su qualcosa di ufficiale

3) Alcuni dei links pur non essendo reali risultati di una ricerca , appaiono al top della pagina e quindi , diventano, per chi la visiona, comunque posizionati al primo posto.

Il post prosegue con alcune considerazioni su un fatto altrettanto importante, per gli scopi ingannevoli dei siti visti ora e precisamente i loghi anche a cinque stelle (sinonimo di prodotto dalle caratteristiche eccezionali)

“ ........Ma che dire di quei loghi , come PC Magazine, Softpedia (cinque stelle!), Geek Files ((5 / 5 stelle, eccezionale prodotto!) , Chip ..............


Non ho trovato alcun riferimento a driver Robot sul sito web di PC Magazine, Su Softpedia non ho trovato alcuna recensione "Editor's", ma solo uno user review, dandogli due stelle su cinque, su GeekFiles.com solo discussioni ma non recensioni.

Deprimente

Tutto questo e' vagamente deprimente, perche':

Un indirizzo web puo' contenere il nome di una societa', e nessuna azione risulta essere attuata dalla stessa societa' per proteggere sia la sua denominazione o dei suoi clienti;

Il Googling di un prodotto non sembra funzionare: gli annunci sponsorizzati ingannano con parole come "ufficiale" e sembrano essere siti effettivamente che reindirizzano sul reale sito del prodotto ......................... Il fatto e' che molte persone possono essere prese in giro con questo genere di siti.
Tutti hanno bisogno di driver, e cercano su Google con il nome del fabbricante e la parola “driver” ................

Quindi quello che voglio sapere e':

Cosa fanno le aziende coinvolte per proteggere i loro marchi, i loro prodotti e i loro clienti da fuorvianti e potenzialmente dannosi prodotti venduti a loro nome ?
Cosa fanno i siti di recensioni di software per proteggere i marchi, e i loro lettori.... ?
Cosa sta facendo Google sugli annunci sponsorizzati che ingannano il pubblico? ..............”

Questo era un breve sunto dell'interessante post su www.loosewireblog.com


Vediamo ora alcuni screenshot relativi ad una ricerca in rete di quanto proposto dall'articolo:

Oltre ai siti visti ieri e precisamente

www(dot)nVidiadriver(dot)org

www(dot)atidriver(dot)org

www(dot)hpdrivers.org,

www(dot)logitechdriver(dot)org

abbiamo anche

HP driverforhp
MSI

ASUS

CANON

INTEL

ACER


Da notare in tutti i casi la presenza del 'testimonial' citato nel post di www.loosewireblog.com e l'elevato numero di loghi di pubblicazioni che trattano di software ed hardware.

In evidenza anche il fatto che molti link cliccabili nella pagina riconducono sempre al download dell'eseguibile Driver Robot. (vedi es. lo screenshot relativo al sito INTEL)

A riprova che i link sponsorizzati a siti di dubbia affidabilita' che trattano di drivers non sono pochi vediamo ora la medesima pagina dei risultati attivando WOT (si tratta di un addon Firefox che evidenzia i siti dubbi o pericolosi anche direttamente sulla pagina delle ricerche in rete)

Come si nota non solo il link sponsorizzato da Google visto ieri e' considerato poco attendibile ma anche tra gli altri 'sponsorizzati' abbiamo dei “bollini rossi”
Ed ecco il risultato cliccando su uno dei links dal “bollino rosso”

che ripropone ancora una volta, con diversa URL, l'ormai 'noto' software Driver Robot

Per terminare segnalo che esistono, per Firefox, addons che in automatico possono filtrare i contenuti Ads di Google proposti nelle pagine dei risultati di ricerca, eliminando es. tutti i “links sponsorizzati” come si vede in questa videata della pagina vista sopra, dopo aver attivato l'addon 'CustomizeGoogle'

Anche se la maggior parte dei links sponsorizzati Google non rientra fortunatamente nella categoria di links a siti dubbi e pericolosi, occorrera' quindi sempre una certa attenzione quando si clicca sui collegamenti proposti come 'sponsorizzati', specialmente quando si effettuano ricerche che implicano il download di files (es drivers) ma anche utilities, antvirus ecc..... Ricordo infatti che ad esempio falsi AV sono stati in passato proprio 'sponsorizzati, da questo genere di Ads Google.

Edgar