sabato 31 gennaio 2009

Google in Tilt !!!!!!!!!

Sta succedendo che qualsiasi ricerca Google dia come risultato che il sito trovato e' pericoloso




ed anche


Problema tecnico o ......... ???

Aggiornamento

Il sito http://www.stopbadware.org/ a cui si appoggia Google per determinare se un sito e' OK sembra essere al momento Offline.

Non e' escluso che tra le due cose (Google in tilt e Stopbadware Offline ) ci possa anche essere qualche relazione.

Aggiornamento

Spiegazioni sull'accaduto da parte di Google

http://googleblog.blogspot.com/2009/01/this-site-may-harm-your-computer-on.html

e di Stopbadware.org

http://blog.stopbadware.org/2009/01/31/google-glitch-causes-confusion


Edgar

Phishing PosteIT. Un bonus 'anticrisi'

Ricevuta mail di phishing PosteIT che questa volta presenta sempre il 'solito' bonus ma il 'regalo' viene ora giustificato con una iniziativa contro la crisi finanziaria attuale.

Come si nota sia nel testo della mail che sul sito fasullo di PosteIT si sottolinea l'iniziativa anticrisi.
C'e' anche da notare che, a differenza di altre volte e per tentare di ingannare meglio chi riceve la mail, la pagina di login fasulla al sito PosteIT

riporta ben evidenziato lo scopo e il valore del bonus mentre di solito, in siti di phishing precedenti, , la pagina di login e' sempre stata quella di default di PosteIT.

Questo il redirect che dall'indirizzo presente in mail porta al sito di phishing.

Edgar

Waledac botnet. Aggiornamento 31 01

In questi ultimi 3 giorni, come illustrato in precedenti post la botnet Waledac presentava un particolare comportamento in riferimento agli indirizzi IP proposti quando si apriva nel browser un indirizzo tra quelli attivi al momento.

In pratica sia una scansione whois degli IP collegati alle pagine Waledac che una analisi ad esempio del tracker www.sudosecure.net/waledac/ dimostravano che gli IP rilevati erano diventati solo ed esclusivamente appartenenti a macchine infette facenti parte della botnet e locati in USA.

Ora (8.30 AM ora di Bangkok) sembra che la situazione degli IP sia tornata come ai precedenti reports ed anche sudosecure confermerebbe questa nuova situazione.

In ogni caso al momento si rilevano molti IP duplicati ed inoltre nazioni come la Cina che prima erano presenti ai primi posti come numero di PC infetti ora sono ancora assenti dagli IP rilevati

Questo un primo report eseguito tramite script Autoit

e questo un report di http://www.sudosecure.net/waledac/

che dimostra come al momento siano ancora molti gli IP non attivi (es Cina)

Edgar

venerdì 30 gennaio 2009

Waledac botnet. Aggiornamento 30 01

Continua il particolare comportamento dei domini Waledac tuttora attivi.
In pratica quando si carica nel browser una delle url Waledac attive si viene sempre linkati a IP di macchine USA, come confermato anche da un whois.

La stessa cosa appare anche dai report presenti ad esempio su http://www.sudosecure.net/waledac/ffipscountries.php

Questo comporta che, se si eseguisse ora una statistica della macchine infette e facenti parte della botnet, apparirebbero nei risultati solo computer locati in USA mentre come sappiamo la diffusione della botnet e' su scala mondiale.

Infatti, se ad esempio andiamo ad esaminare un report precedente al 27 gennaio possiamo vedere che , ancora oggi, alcuni IP non USA sono attivi nel distribuire il malware.
Ad esempio:


oppure

il che indica che non solo pc USA sono comunque tuttora coinvolti nella diffusione della botnet.

Che questo sia voluto o derivi da un problema 'tecnico' della botnet non e' chiaro mentre anche cercando in rete non si trovano indicazioni di questo strano comportamento di Waledac botnet.

Edgar

giovedì 29 gennaio 2009

Hacking quotidiano 29 gennaio 09

Una buona parte dei siti hostati su IP

presentano la homepage sostituita da

di probabile provenienza brasiliana.

Ecco un report webscanner dei siti con il codice inserito al loro interno


Come sempre la compromissione rivela probabili vulnerabilita' presenti sui singoli siti e/o sul server che li ospita che potrebbero essere utilizzate anche per azioni ben piu' pericolose (phishing, link e distribuzione di malware, ecc....)

Edgar

Waledac botnet. Aggiornamento su strani comportamenti whois

E' da circa 24 ore che un whois di un qualunque dominio Waledac attivo restituisce esclusivamente ip appartenenti a macchine locate in USA

In altre parole se in precedenza un whois dava come risultato anche localita' in China, Brasile, Korea ecc... ora gli IP che vengono restituiti (anche da un Nslookup) appartengono a gestori di servizi internet negli States

L'esecuzione di uno script whois autoit ciclico ad esempio sul dominio bestbarack.com da' come risultato questo report

dove appare evidente la sola presenza di computers locati in USA.

La conferma d questo sembra venire anche sia dalla consultazione del tracker www.sudosecure.net/waledac/index.php

che evidenzia lo strano comportamento nelle ultime ore di Waledac botnet come si puo' notare sia da questo report

dove le date presenti per IP diversi da 'location' USA sono ferme al 27 01

che da questo

che mostra gli ultimi IP rilevati come provenire solo da USA

In pratica sembrerebbe che chi gestisce Waledac voglia forzare chi carica il sito con malware solo a linkarsi a IP appartenenti a macchine locate in Usa o almeno l'indicazione di un whois sembrerebbe confermare questo anche se risulta evidente che migliaia di computers infetti (Cina e Korea in testa alla grduatoria) non possono certo essere spariti in poche ore o meglio essere ora tutti bonificati dal malware e fuori dalla botnet.

Per completare queste INFO c'e' anche da dire che i Name Servers relativi vengono sempre geolocati in diverse nazioni anche al di fuori degli USA

come si puo' vedere in quest'altro report

Come info aggiuntiva, al momento, il file eseguibile proposto da bestbarack.com e' sempre scarsamente riconosciuto da una scansione Virus Total:

mentre risultano attivi, al momento di scrivere il post, questi nomi di dominio in fastflux Waledac


(continua)

Edgar

mercoledì 28 gennaio 2009

Aggiornamento links nascosti su pagine di Siti P.A.

Sempre presenti links piu' o meno nascosti su siti di Amministrazione Pubblica Italiana.

Anche se non rappresentano un immediato pericolo per chi visita le pagine compromesse questi links contribuiscono certamente alla diffusione in rete di 'pagine spazzatura' o peggio di malware e falsi AV.

Ecco ad esempio come si presenta, al momento di scrivere il post, un dettaglio del source di questo sito di Comune Italiano


ci cui vediamo un dettaglio della home


con evidenziato il setup dell'addon Firefox per simulare l'User Agent relativo a Googlebot (addon User Agent Switcher)


I links proposti e nascosti nei sources delle pagine del sito raggiungono numeri notevoli

rendendo persino difficoltoso il caricamento nell'editor di testo del sorgente di ogni singola pagina del sito comunale.

Altro esempio e' questo sempre di Comune Italiano


mentre qui vediamo una homepage 'comunale' con source contenente links a pagine spazzatura di vario genere.


Per quanto si riferisce alla tipologia dei links proposti ecco cosa succede seguendone uno presente ad esempio sul primo sito esaminato

Veniamo rediretti su falso scanner AV che propone il download di un file setup, le cui dimensioni dell'eseguibile ed anche una analisi VT, farebbero pensare piu' che ad un FAKE antivirus ad un vero e proprio file malware.



Edgar

martedì 27 gennaio 2009

Aggiornamenti malware 27 01

La distribuzione di links a pagine contenenti files malware e' ripresa, dopo breve pausa, sui siti 'Moodle'.

Ecco, da una ricerca in rete,

come si presenta una recentissima pagina aggiornata di falso utente Moodle.


Cliccando sui molti links presenti abbiamo ad esempio, per diversi siti Moodle, il collegamento sempre a questa pagina


che a sua volta propone redirect su pagine che, di solito, distribuiscono falsi codec video o players in realta' malware sempre poco riconosciuto.

Come sempre il redirect attraverso sito intermedio consente di cambiare i contenuti proposti senza modificare le pagine di links 'sorgente' su Moodle.

Ed ecco un tipico whois di sito che ospita i codici pericolosi.


Il problema di links a malware continua anche sui forums con aggiornamenti continui e che a volte hanno una frequenza elevatissima (notare in pochi minuti la quantita' dei nuovi posts)

Anche in questo caso si tratta quasi sempre di links

a falsi codec, plugins, players ed anche falsi install flash sempre scarsamente riconosciuti dai principali softwares AV


Edgar

lunedì 26 gennaio 2009

Aggiornamento Waledac botnet 26 gennaio 09

Come sempre consiglio chi volesse visitare i links elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.

Un breve aggiornamento sui principali domini Waledac (fastflux), attivi e non, al momento di scrivere il post

Come si puo' notare ancora una discreta quantita di vecchi indirizzi (es. quellli relativi a Obama) e' ancora attiva mentre si sono aggiunti nuovi siti in i cui nomi sono in linea con l'argomento proposto e cioe' la pagina per la festa di San Valentino.

In ogni caso anche i vecchi indirizzi linkano ora alla pagina aggiornata.

Edgar

sabato 24 gennaio 2009

Waledac botnet. Aggiornamento riconoscimento malware 24 01

Ero stato troppo ottimista scrivendo nel precedente post che il numero di AV che riconoscevano la minaccia stava salendo.

Una nuova analisi VT


dimostra infatti che adesso, a causa di una ulteriore variazione del codice malware, siamo ritornati a soli 2 AV che riconoscono il pericolo, sempre tenendo conto che si tratta di una scansione online con tutti i limiti che questo comporta ma che in ogni caso e' indicativa del problema legato alla botnet Waledac.

Edgar

Asprox botnet nuovamente attiva

Leggendo alcuni blog Usa al riguardo della nota botnet Asprox di cui scrivevo per la prima volta in questo post sembrerebbe che ultimamente abbia ripreso l'attivita' attraverso alcuni nomi di dominio che linkano a pagine fastflux e che sono attivi e propongono uno script offuscato

Questi alcuni dei domini coinvolti


e questa una parziale ricerca in rete filtrata per siti .IT che dimostra sempre una buona presenza di pagine contenti riferimenti agli scripts in questione

Edgar

Waledac botnet. Scansione dei pc infetti

Come sempre consiglio chi volesse visitare i links (indirizzi ip) elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.

In questi giorni e' uscito sull'ottimo sito http://www.sudosecure.net/ un nuovo post dal nome Waledac Tracker Revamped al riguardo del rinnovato Tracker Waledac che permette di analizzare l'estensione e lo sviluppo della botnet Waledac con una notevole serie di dettagli.

Paragonando i dati presentati con il mio semplice script Autoit che chiaramente presenta molti limiti rispetto ad un reale tracker di botnet (si tratta unicamente di un whois ciclico su un dominio facente parte della botnet), ho voluto provare ad eseguire una scansione piu' lunga nel tempo rispetto alle precedenti per verificare se esisteva una convergenza di risultati su quanto rilevato con il tracker di sudosecure.net

Per fare questo ho intanto 'ripulto' lo script da alcuni bug presenti che in maniera casuale lo terminavano quando incontrava problemi di conversione e copia dei dati acquisiti per scriverli sul file txt di report.
Questa cosa ha permesso di eseguire per circa 15 ore quasi 10.000 whois consecutivi su uno dei domini Waledac piu' attivi al momento e precisamente bestbarack.com

Questa che vedete e' l'indicazione presente sull'interfaccia dello script che indica il numero di whois eseguiti sul dominio al termine della scansione

A questo punto , eliminando gli indirizzi IP duplicati (molte volte il medesimo IP si presenta ripetuto durante la scansione e tra l'altro il numero di IP ripetuti sembra essere notevolmente piu' alto su IP USA !!!???)) questo e' il risultato :

Come si vede, adesso, con una analisi certamente molto piu' lunga di quelle precedenti, abbiamo al primo posto come computers infetti da Waledac la Cina seguita da Korea, Usa, India ecc... il che concorda abbastanza da vicino con le scansioni piu' attendibili presenti in rete.

Questo il dettaglio del report
con un ulteriore dettaglio riferito a macchine USA infette
mentre per chi volesse visionare il report in dettaglio qui trovate il file del report in formato TXT (circa 2 mega e mezzo) come ottenuto eseguendo lo script.
Si tratta di file testo che usa il carattere $ per delimitare i vari campi del record ed e' facilmete importabile su foglio di calcolo.

Edgar

venerdì 23 gennaio 2009

Waledac ora distribuisce meandyou.exe

Come previsto nell'ultimo post sulla botnet Waledac il genere di pagine distribuite e' cambiato

A sostituire la pagina di false news sul presidente USA Obama c'e' ora una pagina che propone

e il cui sorgente vediamo in questo dettaglio


e che comprende anche il consueto javascript offuscato


Cosi' come il layout che si ispira alla prossima festivita' di San Valentino anche l'eseguibile ha cambiato nome ed ora e' proposto come meandyou.exe e varianti (you.exe, youandme.exe, onlyyou.exe.....)

Una analisi VT dimostra che, come gia' succedeva per la botnet StormWorm, al momento della proposta della nuova 'versione' del malware , il riconoscimento e' praticamente nullo, almeno con una scansione on line.



Aggiornamento

Ecco anche alcuni IP 'italiani' che si trovano adesso coinvolti nella botnet Waledac

L'ultimo in tabella, al momento di scrivere il post, e' ancora attivo e mostra la pagina

che pero' questa volta distribuisce come eseguibile onlyyou.exe

Fortunatamente sembra che la risposta dei singoli software antivirus stia migliorando anche a poche ore dalla nuova minaccia Waledac


(continua)

Edgar