Hardware Upgrade Forum

Hardware Upgrade Forum (https://www.hwupgrade.it/forum/index.php)
-   News - AV e sicurezza (https://www.hwupgrade.it/forum/forumdisplay.php?f=142)
-   -   [NEWS] Un Anno dopo The Italian Job è ancora di attualità (https://www.hwupgrade.it/forum/showthread.php?t=1735185)


Chill-Out 02-05-2008 15:51

[NEWS] Un Anno dopo The Italian Job è ancora di attualità
 
Venerdì 2 Maggio 2008

Gli analisti di Trend Micro hanno scoperto circa 2 ore fà 90 siti Italiani compromessi, al momento sembrano tutti attivi quindi potenzialmente infetti.

I siti compromessi contengono codice JavaScript offuscato che redirige il Browser ad un' URL maligno il cui IP può essere fatto risalire a nord degli Stati Uniti, che a sua volta scarica sul PC del malcapitato il Trojan idenifcato da Trend Micro come TROJ_SINOWAL.CB ovvero MBR Rootkit.

Rimaniamo in attesa di ulteriori notizie

Fonte: TrendLabs Malware Blog

mausap 02-05-2008 18:36

"Si so' svejatiiiiiiiiiiiiiiiii, sor marchese" :-)

Io ad aruba ho segnalato la cosa per mail parecchi giorni fa.
Risposta zero

Su myspace sabrina salerno o chi per lei ha comunicato la cosa che gli avevo scritto io

Chill-Out 02-05-2008 18:44

Quote:

Originariamente inviato da mausap (Messaggio 22279661)
"Si so' svejatiiiiiiiiiiiiiiiii, sor marchese" :-)

Io ad aruba ho segnalato la cosa per mail parecchi giorni fa.
Risposta zero

Su myspace sabrina salerno o chi per lei ha comunicato la cosa che gli avevo scritto io

infatti:

* A Johnny Depp fan site
* The official site of Monica Bellucci (famous Italian model-actress)
* The Mercedes-Benz club of Italy
* A fan site of Pearl Jam
* The official Web page of Sabrina Salerno (Italian singer)

Guyon 05-05-2008 15:55

Segnalato anche io, non mi hanno degnato di nota...
Ho sistemato le pagine 'modifiche' sui miei domini, ora mi sorge una domanda...
Come posso essere sicuro di non essere stato infettato?
Ho provato i 3 tool alla pagina : http://maipiugromozon.blogspot.com/ ed entrambi mi hanno detto che il sistema è pulito, il registro non sembra modificato e non ho processi attivi 'strani'.
Altri modi per ferificare l'MBR ed eventuali infezioni'

Grazie.

Chill-Out 05-05-2008 16:08

Quote:

Originariamente inviato da Guyon (Messaggio 22315945)
Segnalato anche io, non mi hanno degnato di nota...
Ho sistemato le pagine 'modifiche' sui miei domini, ora mi sorge una domanda...
Come posso essere sicuro di non essere stato infettato?
Ho provato i 3 tool alla pagina : http://maipiugromozon.blogspot.com/ ed entrambi mi hanno detto che il sistema è pulito, il registro non sembra modificato e non ho processi attivi 'strani'.
Altri modi per ferificare l'MBR ed eventuali infezioni'

Grazie.

Direi che i tre tool indicati da Mausap sono più che sufficienti per i controlli del caso, potresti indicarci quali sono i siti che hai bonificato, thx :)

Guyon 05-05-2008 16:18

www.mondoirc.net
www.darkangelitalia.net

Chill-Out 05-05-2008 17:00

Aggiornamento
 
Lunedì 5 Maggio 2008

Mentre sto ripetendo alcune scansioni in rete su domini che gia' presentavano il problema dello script che linkava a MBR rootkit faccio notare una nuovo leggermente diverso codice di script offuscato che sembrerebbe non essere riconosciuto da Kaspersky Antivirus, almeno nella versione online.

A differenza di altri noti che redirigono su ces2vif.com questo script presente su...continua

Fonte: Edgar's Internet Tools

da un velocisso controllo sull' IP 62.149.140.18 risultano infetti oltre a ristoreggio[dot]it:

ostiachat[dot]it segnalato anche da Google
comonight[dot]com

Edgar Bangkok 06-05-2008 08:21

Aggiornamento
 
Piccolo aggiornamento riguardo a siti con script ancora presenti e risposta AV

http://edetools.blogspot.com/2008/05...t-malware.html

Una analisi con virus total dei recenti script che linkano a malware MBR rootkit dimostra che ora abbiamo qualche software in piu' che riconosce la minaccia.

Questa una analisi VT al codice ancora contenuto,al momento di scrivere il post, su
(immagine sul blog )

mentre per quanto si riferisce allo script leggermente diverso e che al momento e' sempre presente su
(immagine sul blog )

vi sono alcune differenze rispetto al report precedente
(immagine sul blog )


Al momento rimangono ancora da bonificare anche altri siti tra i quali
(immagine sul blog )

fonte: http://edetools.blogspot.com/2008/05...t-malware.html

Edgar :D


Tutti gli orari sono GMT +1. Ora sono le: 17:27.

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.