[NEWS] Un Anno dopo The Italian Job è ancora di attualità

**Chill-Out** · 02-05-2008, 15:51

Venerdì 2 Maggio 2008

Gli analisti di Trend Micro hanno scoperto circa 2 ore fà 90 siti Italiani compromessi, al momento sembrano tutti attivi quindi potenzialmente infetti.

I siti compromessi contengono codice JavaScript offuscato che redirige il Browser ad un' URL maligno il cui IP può essere fatto risalire a nord degli Stati Uniti, che a sua volta scarica sul PC del malcapitato il Trojan idenifcato da Trend Micro come TROJ_SINOWAL.CB ovvero MBR Rootkit.

Rimaniamo in attesa di ulteriori notizie

Fonte: TrendLabs Malware Blog

mausap · 02-05-2008, 18:36

"Si so' svejatiiiiiiiiiiiiiiiii, sor marchese" :-)

Io ad aruba ho segnalato la cosa per mail parecchi giorni fa.
Risposta zero

Su myspace sabrina salerno o chi per lei ha comunicato la cosa che gli avevo scritto io

**Chill-Out** · 02-05-2008, 18:44

Quote:

Originariamente inviato da mausap

"Si so' svejatiiiiiiiiiiiiiiiii, sor marchese" :-)

Io ad aruba ho segnalato la cosa per mail parecchi giorni fa.
Risposta zero

Su myspace sabrina salerno o chi per lei ha comunicato la cosa che gli avevo scritto io

infatti:

* A Johnny Depp fan site
* The official site of Monica Bellucci (famous Italian model-actress)
* The Mercedes-Benz club of Italy
* A fan site of Pearl Jam
* The official Web page of Sabrina Salerno (Italian singer)

Guyon · 05-05-2008, 15:55

Segnalato anche io, non mi hanno degnato di nota...
Ho sistemato le pagine 'modifiche' sui miei domini, ora mi sorge una domanda...
Come posso essere sicuro di non essere stato infettato?
Ho provato i 3 tool alla pagina : http://maipiugromozon.blogspot.com/ ed entrambi mi hanno detto che il sistema è pulito, il registro non sembra modificato e non ho processi attivi 'strani'.
Altri modi per ferificare l'MBR ed eventuali infezioni'

Grazie.

**Chill-Out** · 05-05-2008, 16:08

Quote:

Originariamente inviato da Guyon

Segnalato anche io, non mi hanno degnato di nota...
Ho sistemato le pagine 'modifiche' sui miei domini, ora mi sorge una domanda...
Come posso essere sicuro di non essere stato infettato?
Ho provato i 3 tool alla pagina : http://maipiugromozon.blogspot.com/ ed entrambi mi hanno detto che il sistema è pulito, il registro non sembra modificato e non ho processi attivi 'strani'.
Altri modi per ferificare l'MBR ed eventuali infezioni'

Grazie.

Direi che i tre tool indicati da Mausap sono più che sufficienti per i controlli del caso, potresti indicarci quali sono i siti che hai bonificato, thx

Guyon · 05-05-2008, 16:18

www.mondoirc.net
www.darkangelitalia.net

**Chill-Out** · 05-05-2008, 17:00

Lunedì 5 Maggio 2008

Mentre sto ripetendo alcune scansioni in rete su domini che gia' presentavano il problema dello script che linkava a MBR rootkit faccio notare una nuovo leggermente diverso codice di script offuscato che sembrerebbe non essere riconosciuto da Kaspersky Antivirus, almeno nella versione online.

A differenza di altri noti che redirigono su ces2vif.com questo script presente su...continua

Fonte: Edgar's Internet Tools

da un velocisso controllo sull' IP 62.149.140.18 risultano infetti oltre a ristoreggio[dot]it:

ostiachat[dot]it segnalato anche da Google
comonight[dot]com

Edgar Bangkok · 06-05-2008, 08:21

Piccolo aggiornamento riguardo a siti con script ancora presenti e risposta AV

http://edetools.blogspot.com/2008/05...t-malware.html

Una analisi con virus total dei recenti script che linkano a malware MBR rootkit dimostra che ora abbiamo qualche software in piu' che riconosce la minaccia.

Questa una analisi VT al codice ancora contenuto,al momento di scrivere il post, su
(immagine sul blog )

mentre per quanto si riferisce allo script leggermente diverso e che al momento e' sempre presente su
(immagine sul blog )

vi sono alcune differenze rispetto al report precedente
(immagine sul blog )

Al momento rimangono ancora da bonificare anche altri siti tra i quali
(immagine sul blog )

fonte: http://edetools.blogspot.com/2008/05...t-malware.html

Edgar

02-05-2008, 15:51	#1
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	[NEWS] Un Anno dopo The Italian Job è ancora di attualità Venerdì 2 Maggio 2008 Gli analisti di Trend Micro hanno scoperto circa 2 ore fà 90 siti Italiani compromessi, al momento sembrano tutti attivi quindi potenzialmente infetti. I siti compromessi contengono codice JavaScript offuscato che redirige il Browser ad un' URL maligno il cui IP può essere fatto risalire a nord degli Stati Uniti, che a sua volta scarica sul PC del malcapitato il Trojan idenifcato da Trend Micro come TROJ_SINOWAL.CB ovvero MBR Rootkit. Rimaniamo in attesa di ulteriori notizie Fonte: TrendLabs Malware Blog __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

02-05-2008, 18:36	#2
mausap Senior Member Iscritto dal: Jan 2007 Messaggi: 308	"Si so' svejatiiiiiiiiiiiiiiiii, sor marchese" :-) Io ad aruba ho segnalato la cosa per mail parecchi giorni fa. Risposta zero Su myspace sabrina salerno o chi per lei ha comunicato la cosa che gli avevo scritto io __________________ maipiugromozon.blogspot.com Ultima modifica di mausap : 02-05-2008 alle 18:39.

05-05-2008, 17:00	#7
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Aggiornamento Lunedì 5 Maggio 2008 Mentre sto ripetendo alcune scansioni in rete su domini che gia' presentavano il problema dello script che linkava a MBR rootkit faccio notare una nuovo leggermente diverso codice di script offuscato che sembrerebbe non essere riconosciuto da Kaspersky Antivirus, almeno nella versione online. A differenza di altri noti che redirigono su ces2vif.com questo script presente su...continua Fonte: Edgar's Internet Tools da un velocisso controllo sull' IP 62.149.140.18 risultano infetti oltre a ristoreggio[dot]it: ostiachat[dot]it segnalato anche da Google comonight[dot]com __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

06-05-2008, 08:21	#8
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Aggiornamento Piccolo aggiornamento riguardo a siti con script ancora presenti e risposta AV http://edetools.blogspot.com/2008/05...t-malware.html Una analisi con virus total dei recenti script che linkano a malware MBR rootkit dimostra che ora abbiamo qualche software in piu' che riconosce la minaccia. Questa una analisi VT al codice ancora contenuto,al momento di scrivere il post, su (immagine sul blog ) mentre per quanto si riferisce allo script leggermente diverso e che al momento e' sempre presente su (immagine sul blog ) vi sono alcune differenze rispetto al report precedente (immagine sul blog ) Al momento rimangono ancora da bonificare anche altri siti tra i quali (immagine sul blog ) fonte: http://edetools.blogspot.com/2008/05...t-malware.html Edgar

05-05-2008, 15:55	#4
Guyon Senior Member Iscritto dal: Nov 2006 Città: Reggio Emilia Messaggi: 509	Segnalato anche io, non mi hanno degnato di nota... Ho sistemato le pagine 'modifiche' sui miei domini, ora mi sorge una domanda... Come posso essere sicuro di non essere stato infettato? Ho provato i 3 tool alla pagina : http://maipiugromozon.blogspot.com/ ed entrambi mi hanno detto che il sistema è pulito, il registro non sembra modificato e non ho processi attivi 'strani'. Altri modi per ferificare l'MBR ed eventuali infezioni' Grazie.

05-05-2008, 16:18	#6
Guyon Senior Member Iscritto dal: Nov 2006 Città: Reggio Emilia Messaggi: 509	www.mondoirc.net www.darkangelitalia.net

Strumenti
Mostra una versione stampabile Invia questa pagina per email