|
|
|
![]() |
|
Strumenti |
![]() |
#1 |
Senior Member
Iscritto dal: Jan 2007
Messaggi: 308
|
Attenzione a Katasearch.com
Katasearch.com un falso motore basato su google che diffonde malware
Il file in questione sfugge ancora a quasi tutti gli antivirus. per saperne di piu' come al solito c'è mio blog per chi ne ha voglia maipiugromozon.blogspot.com |
![]() |
![]() |
![]() |
#2 | |
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
infatti i link della home di kataSearch.com portano a google.it
Quote:
io ci sono andato con FireFox e "noScript" attivato ![]() scarica i due file se premo "login" e bit-defender li identica come malevoli e li blocca subito, considera che è aggiornato a lunedì mattina alle ore 08:30 ![]()
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 05-06-2007 alle 12:32. |
|
![]() |
![]() |
![]() |
#3 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
ciao mouseup,
navigando quà e là mi capita spesso su google di ritrovare nei risultati dei link sicuramente infetti da gromozon e fratelli. volevo sapere come posso fare per comunicarteli eventualmente per "arricchire" il tuo blog molto utile! ![]() fammi sapere. p.s.: questi indirizzi sono facilmente riconoscibili anche senza accedervi, vi chiederete come? e presto detto: molti risultati hanno nomi strani nei domini come ad esempio: h**p:www.123544789.it (molto sospetto ma nome generato dalla mia fantasia e non so se esiste veramente) oppure hanno parole chiave che non hanno attinenza tra loro. ad esempio potreste trovare una semplice paginetta di internet con un elenco di parole chiave diverse tipo cane, macchina, pasta al forno ecc... un esempio di pagina sospetta è questa: h**p://www.corso-due-w.org/res472.htm quì vi sono diverse parole chiave che non hanno attinenza tra loro. una pagina piena che serve per aumentare le probabilità di essere visualizzata ai primi posti su google. ovviamente sono siti civetta che servono per farvi infettare da gromozon e fratelli.
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 05-06-2007 alle 20:18. |
![]() |
![]() |
![]() |
#4 | |
Senior Member
Iscritto dal: Jan 2007
Messaggi: 308
|
Quote:
Vedo con piacere che hai capito come funziona il sistema delle pagine civetta infette.Penso che siano dell'ordine delle centinaia di migliaia se non addirittura qualche milione.Google dice addirittura che le pagine potenziamente dannose sono 1/10 di quelle presenti sul web. Per questo io punto agli Ip. Comunque i malware di solito si trovano sempre in russia o ucraina (almeno quelli di quella gang li).Quei range devono assolutamente essere bloccati perche' ospitano fisicamente il virus. In effetti non ci vuole molto a capire se un sito sia potenzialmente dannoso. Di solito quando vado a controllare di cosa si tratta so gia' cosa piu' o meno mi aspetta.Per questo usate firefox con noscript oppure ancora meglio sandboxie. Se hai qualche informazione su questo tipo di spazzatura puoi comunicarla nei commenti del blog oppure mandarmi un messaggio personale qui Purtroppo gli antivirus fanno quello che possono ma non sono efficaci. Mi pare molto interessante la SandBox Analyzer della Norman che si trova anche su jotti e virustotal I programmi di virtualizzazione, le sandbox e gli hips ormai credo sia quasi indispensabili per avere il pc sicuro. Un'ultima raccomandazione per chi usa nod32. Dovete intregrare la protezione con altri software sfruttando la leggerezza di questo prodotto perche' purtroppo nod ha una capacita' di rivelazione dei virus non straordinaria attualmente. La mia esperienza conferma i risultati di av-test.org Ultima modifica di mausap : 05-06-2007 alle 14:00. |
|
![]() |
![]() |
![]() |
#5 | |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
Quote:
![]() p.s.: ho provveduto a segnalare a kaspersky questo tipo di rootkit che cambia spesso, insomma ho chiesto di tenere sotto controllo questo indirizzo. per quanto riguarda il browser uso opera e non mi sono mai infettato!!! ![]()
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 05-06-2007 alle 14:28. |
|
![]() |
![]() |
![]() |
#6 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
mi hanno appena risposto dalla kaspersky quanto segue:
Hello, katasearch.ex - Trojan-Clicker.Win32.Agent.ip This file is already detected. Please update your antivirus bases. avevo scritto che era un nuovo virus ma kaspersky è troppo avanti!!! ![]() quindi noi utenti kasperskini siamo già protetti. ![]() ![]() ![]()
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
![]() |
![]() |
![]() |
#7 |
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
non mostra un sito reale come primo risultato ma un falso sito inesistente per farti scaricare i due virus che avevo riportato sopra..
esempio, ho cercato "alberti elisabetta" e il sito reale è il "albertielisabetta.eu" che è primo su google ma secondo in questo falso motore di ricerca: ![]() clickando sul primo link non succede altro che questa schermata in loop che spinge a scaricare volontariamente il file infetto: ![]() l'unico modo per infettarsi è clickare sul link in alto "accesso" ![]() era solo per dare un esempio di questo caso specifico nel quale il "civetta" non è esistente... anche cambiando ricerca esempio "bancaintesa" il primo link che compare è sempre inesistente e facente parte all'ip: 208.101.37.109
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
![]() |
![]() |
![]() |
#8 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
Quote:
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
![]() |
![]() |
![]() |
#9 | |
Senior Member
Iscritto dal: Aug 2005
Messaggi: 1267
|
Quote:
![]()
__________________
Il dubbio è il padre del sapere. ![]() ![]() |
|
![]() |
![]() |
![]() |
#10 | |
Senior Member
Iscritto dal: Mar 2007
Messaggi: 7863
|
Quote:
|
|
![]() |
![]() |
![]() |
#11 |
Senior Member
Iscritto dal: Jan 2007
Messaggi: 308
|
Programmi come questi:
Virtualization Tools Altiris Software Virtualization Solution http://www.altiris.com/Products/Soft...nSolution.aspx BufferZone http://www.trustware.com/home.php Deep Freeze http://www.faronics.com/html/deepfreeze.asp GreenBorder http://greenborder.com/ ---------->acquistato da Google ShadowSurfer http://www.shadowstor.com/products.html VirtualSandbox http://www.fortresgrand.com/products/vsb/vsb.htm VMware Browser Appliance Free! http://www.vmware.com/vmtn/vm/browserapp.html |
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:35.