martedì 13 novembre 2007

Certo che oltre ad essere truffato uno debba essere anche preso per il sedere è veramente
troppo :
Qui potete vedere un bel banner pubblicitario della famigerata societa' russa/ucraina (societa' non è la parola giusta, meglio dire cybercriminalita') che sta dietro al rootkit Dialcall, ovvero uno di quei malware studiati appositamente per il traffico italiano.
Callsolutions si occupa solo del nostro paese.

(meglio andarci con la sandbox abilitata non si sa mai :-) )

http://bp0.blogger.com/_CDS_SXPrm3A/RzoB-fHnrPI/AAAAAAAAARg/5K6kJnz-uuQ/s200/zzzzzzzzzzzz.png (http://bp0.blogger.com/_CDS_SXPrm3A/RzoB-fHnrPI/AAAAAAAAARg/5K6kJnz-uuQ/s1600-h/zzzzzzzzzzzz.png)

hxxp://docentdesign.com/banner/berlusconi.swf


Il sito dei webdesigner di callsolutions

http://bp1.blogger.com/_CDS_SXPrm3A/RznxY_HnrOI/AAAAAAAAARY/5hmx4S9-LM0/s200/zdocdes.png (http://bp1.blogger.com/_CDS_SXPrm3A/RznxY_HnrOI/AAAAAAAAARY/5hmx4S9-LM0/s1600-h/zdocdes.png)


Il sito su cui si trova il banner (registrato dalla solita ESTDOMAINS, INC.) è un server
di UAONLINE (Ucraina online) e si trova in UK. Sul range appartente a questa societa'
potete trovare moltissima spazzatura.

Forse ce lo meritiamo se questi rubagalline da 2 soldi ci prendono di mira, visto che facciamo di tutto per non tutelare gli utenti del web nel nostro paese.


Fonte: maipiugromozon.blogspot.com - by Mausap (http://maipiugromozon.blogspot.com/2007/11/gli-sfotto-di-callsolutions.html)

:-)

callsolutions credo utilizzi RBN per diffondere i malware (potrebbero anche essere loro stessi quelli di RBN ma piu' verosimilmente sono persone che usano i loro servizi). Infatti per qualche giorno hanno avuto problemi. Adesso su loro sito appare:

9.November.2007 / 9.Ноябрь.2007
Dear webmasters, please change urls for traffic as sson as possible. Old urls doesn't work (provider has disconnected our servers without notification)

Mi sono fatto tradurre il banner da una persona che parla il russo e si tratta come si vede anche dalle sole immagini di una presa per il sedere (ovviamente hanno utilizzato il nostro ex premier, molto popolare in Russia per essere amico di zar Putin)

Ecco una serie di consigli che è possibile reperire nella lista degli IP da bloccare nel sito sopra menzionato:

Questa è una lista di indirizzi Ip che i creatori del virus Gromozon e/o DialCall usano per diffondere la loro spazzatura.
Utilizzate un firewall per bloccarli. Eviterete moltissime rotture di scatole (come ad esempio il furto di dati personali , l'installazione di dialer e che il vostro pc venga utilizzato come server spam o per un attacco DDos) con questo semplice accorgimento.Inutile dire che un antivirus è indispensabile lo stesso.
Ottimi sono Kaspersky 6 o 7 ( la sua versione gratuita ActiveVirusShield offerta da AOL non è piu' disponibile sostituita da McAfee che non è altrettanto efficace), Nod32 per la leggerezza (anche se non all'altezza del primo nella quantita' di virus che riesce ad individuare e ultimamente sta diventando sempre meno efficace) e Prevx che pero' è un tool antimalware.
Un altro prodotto eccellente è antivir 7 (anche nella versione free)
Ricordo che basta la navigazione su di un sito con determinati exploit con una versione di windows non aggiornata con tutte le patch, per infettarsi e purtroppo di pagine web civetta ce ne sono migliaia ed anche ben indicizzate da google, yahoo e live-msn.
E' necessario procedere all'aggiornamento anche dei programmi (acrobat reader, quicktime , winzip, flash, ecc.) perche' anche le vulnerabiltà di questi software possono essere sfruttate per colpire il nostro sistema.
Utilizzate Secunia inspector per vedere se siete a rischio.
Il mio suggerimento è di utilizzare il browser Firefox con le estensioni NoScript e Showip.
Anche mcafee site advisor puo' essere utile anche se non sempre è affidabilissimo.
Se poi metteste una sandbox sul browser (come ad esempio sandboxie) ancora meglio.
Ovviamente se utilizzate win 2000/xp potreste evitare di utilizzare il pc con i diritti di amministratore.

Correggimi se sbaglio,naturalmente,Mausap.
Gli utenti comprenderanno che seguire le indicazioni significare stare più al sicuro in fase di navigazione.
Avete notato che è stata messa l'avvertenza di cliccare sul banner solo con una sandbox abilitata.

Insomma in definitiva una serie di precauzioni non indifferenti.

Vorrei io, dire, cosa avrebbe di diverso una navigazione Linux.
Ed io probabilmente sono l'utente linux più paranoico in tema sicurezza che esista !! :D :D

Uso un Firewall.
Uso Opera.
Ed ogni settimana lancio e faccio uno scan con CHKROOTKIT alla ricerca nel sistema di eventuali rootkit.

Il firewall credo sia entrato in funzione,ultimamente, in fase di navigazione direi 3 volte in 3 mesi.
Non ho mai rilevato alcun rootkit.
Non uso altri soft protettivi.....ma proprio nessuno capito ? ;)

Se naturalmente qualcuno si chiede cosa succede se clicco sul banner di Berlusconi la risposta è nulla,di nulla.

Allora cerco di fare un po' di chiarezza su quelle che sono le finalita' del blog maipiugromozon che è nato un po' per scherzo un po' per creare una lista di Ip pericolosi quando l'italia era nell'occhio del ciclone per via del virus gromozon e del rootkit dialcall. Diciamo che prima non era ben chiaro a molti che ci fosse una organizzazione criminale dell'est (ex sovietici) gigantesca alle spalle, che opera sul web almeno dal 2004 se non prima.
Ci sono forum in cirillico dove si discute di qualsiasi pratica illegale dallo spam alle botnet a come fregare il prossimo forti di una totale impunita'.
Con questo sistema si possono compiere reati gravissimi come svuotare i conti correnti a 10000 km di distanza. Ovviamente restando dei perfetti cittadini nel proprio paese.
Adesso finalmente ne parlano tutti compreso il washingtonpost e l'fbi se ne sta occupando attivamente. Quello che io chiamavo CWS/gromozon è piu' o meno quello che in questo momento tutti definiscono RBN Russian Business Network.
Questi tizi hanno base non solo a san pietroburgo come detto ma anche negli stati uniti e in varie citta' europee.
Si tratta anche di gruppi diversi che pero' hanno caratteristiche comuni.

Sembrava che questa gente avesse particolare accanimento verso l'italia ma adesso
abbiamo potuto osservare che ci sono stati attacchi violenti anche verso altri paesi. Basta ricordare il caso della banca Indiana.
(anche in questo caso ho l'impressione che abbiano goduto della complicita' di qualcuno di quel paese come è avvenuto per l'italia per i dialer celati dai rookit)

Ora i metodi per difendersi sono molti. Usare linux mette a riparo da molti pericoli per via di una maggiore sicurezza intrinseca del S.O.
ma abbiamo visto che la stessa gentaglia è riuscita a mettere a punto un trojan per OSX.

Poi ovviamente dove non arrivano gli exploit c'è l'ingegneria sociale.
Certo che se molti dei programmi che girano sotto linux continueranno ad essere open source tutto diventa piu' difficile per questi farabutti.
Spero di essere stato esaustivo

Maverick

Allora cerco di fare un po' di chiarezza su quelle che sono le finalita' del blog maipiugromozon che è nato un po' per scherzo un po' per creare una lista di Ip pericolosi quando l'italia era nell'occhio del ciclone per via del virus gromozon e del rootkit dialcall. Diciamo che prima non era ben chiaro a molti che ci fosse una organizzazione criminale dell'est (ex sovietici) gigantesca alle spalle, che opera sul web almeno dal 2004 se non prima.
Ci sono forum in cirillico dove si discute di qualsiasi pratica illegale dallo spam alle botnet a come fregare il prossimo forti di una totale impunita'.
Con questo sistema si possono compiere reati gravissimi come svuotare i conti correnti a 10000 km di distanza. Ovviamente restando dei perfetti cittadini nel proprio paese.
Adesso finalmente ne parlano tutti compreso il washingtonpost e l'fbi se ne sta occupando attivamente. Quello che io chiamavo CWS/gromozon è piu' o meno quello che in questo momento tutti definiscono RBN Russian Business Network.
Questi tizi hanno base non solo a san pietroburgo come detto ma anche negli stati uniti e in varie citta' europee.
Si tratta anche di gruppi diversi che pero' hanno caratteristiche comuni.

Sembrava che questa gente avesse particolare accanimento verso l'italia ma adesso
abbiamo potuto osservare che ci sono stati attacchi violenti anche verso altri paesi. Basta ricordare il caso della banca Indiana.
(anche in questo caso ho l'impressione che abbiano goduto della complicita' di qualcuno di quel paese come è avvenuto per l'italia per i dialer celati dai rookit)

Ora i metodi per difendersi sono molti. Usare linux mette a riparo da molti pericoli per via di una maggiore sicurezza intrinseca del S.O.
ma abbiamo visto che la stessa gentaglia è riuscita a mettere a punto un trojan per OSX.

Poi ovviamente dove non arrivano gli exploit c'è l'ingegneria sociale.
Certo che se molti dei programmi che girano sotto linux continueranno ad essere open source tutto diventa piu' difficile per questi farabutti.
Spero di essere stato esaustivo

Maverick

Perfettamente Mausap o Maverick o TOP GUN.......ma come ti devo chiamare ? ;) :)
Ed ancora complimenti per il tuo prezioso lavoro di prevenzione.