29-01-2007, 07:36
|
#31
|
|
Senior Member
Iscritto dal: Oct 2005
Città: Palermo
Messaggi: 2521
|
Quote:
Attenzione a questi 2 siti che poi puntano allo stesso IP
---italian.eazel.com----
---italian.ircfast.com-----
209.85.60.76
I siti sono civetta e fanno uso di tecniche di ingegneria sociale per far scaricare un malware dell'insolita dimensione di 1 MB.
Notare che i furbacchioni hanno scritto "Scaricare Software - Software esente da virus" :-) :-)
Su virustotal solo 4 lo individuano e sono antivir, drweb, panda, esafe
Gia' ho comunicato la cosa sul blog dell'amico della prevx speiamo che lo aggiunga subito
Ah un altro sito da evitare come la peste bubbonica è
----mprogrammi.net---
ospitato sui server USA intercage, che poi usano il solito script per infettare , il che vuol dire Gromozon/dialcall al 100%
Da quando é possibile fare soldi con i virus il numero di infezioni messe a punto a vere e proprie organizzazioni criminali che hanno la faccia rispettabile di societa' che offrono servizi internet da un lato e dall'altro spammano truffano (scam) e diffondono rootkit difficilissimi da scovare per rubare dai sensibili o fare Ddos è cresciuto esponezialmente. Molto attivi sono i Russi e gli ucraini che adesso se la sono presa con l'italia ma prima hanno fatto sfracelli con lo spam e gli spyware - adware in tutto il mondo. Anche la Spagna mi pare che stia per entrare nell'occhio del ciclone. La cosa incredibile è che la maggior parte dei server sono negli Usa ma ho il sospetto che certe pagine funzionino solo con Ip di certe aree geografiche. Altrimenti gia' sarebbero stati chiusi da un pezzo. Per quelli in russia e ucraina invece ci vuole il kgb e l'intervento di putin :-) :-)
Infatti sembra che l'infezione sia per quelli non di lingua inglese.
---www.eazel.com--- che il sito principale poi ha dei link in varie lingue. Tutti i link con la bandiera francese italiana tedesca portoghese
sono identici e sembrano archivi di programmi ma in realta' ne hanno solo
1 che è un virus.
Per la versione spagnola c'è ----www.ircfast.com---------
Ormai per quello che ho visto navigare sul web con windows crea molti problemi per via degli exploit che vengono utilizzati da pagine che sono posizionate nei primi risultati di google.Per cui è molto facile finirci sopra. Il problema principale è il mezzo di diffusione che è cambiato. Prima era la posta che ormai funziona molto poco visto che adesso si possono utilizzate le webmail
mentre ora sono i motori di ricerca. Forse è il caso di comunicare a Google iItalia, Yahoo e MSN di escludere le pagine web ospitati da questi server (tutti gestiti da russi)
195.225.176.0-195.225.179.255 NETCATHOST Ucraina
195.234.159.0 - 195.234.159.255 LINO-NET Israele
85.255.112.0-85.255.127.255 Inhoster hosting company Ucraina
69.50.160.0-69.50.191.255 InterCage, Inc. USA
81.29.240.0-81.29.242.63 GLOBALTRADE-NET-1 Russia
67.15.64.166-67.15.64.168 Exploit su questi 3 ip USA
69.31.0.0 - 69.31.143.255 Pilosoft, Inc USA
66.230.128.0 - 66.230.191.255 ISPrime, Inc USA
208.66.195.78 McColo Corporation USA (probabilmente tutto il range)
204.13.160.26 Oversee.net USA (probabilmente tutto il range)
216.195.32.0 - 216.195.63.255 Dimago Overseas GmbH NET
216.255.176.0 - 216.255.191.255 InterCage USA
mentre questo Ip 209.85.60.76
è quello del malware di 1mb (non mi pare la stessa mano di quelli di gromozon... forse sono spagnoli)
Bloccateli sul firewall
|
intervento di mausap.
Ultima modifica di giannola : 29-01-2007 alle 11:31.
|
|
|