c.m.g
12-03-2008, 09:32
martedì 11 marzo 2008
Rapidissimo post per segnalare una nuova minaccia da parte dei soliti noti italiani. Sono anni che scassano con i dialer. Adesso si sono messi addirittura a lavorare con gli ucraini di Inhoster che sono notoriamente tra i peggiori criminali informatici del mondo.
Evidentemente stanno cercando nuove forme di "business"
Payperstats fa scaricare malware, per cui chi vuole usufruire dei loro servizi di statistiche per le quali si riceve un compenso x numero di visitatori, sappia che si sta rendendo complice di un reato.
Lo script inserito nella pagina cerca di far credere ai malcapitati che il loro pc è infetto come viene spiegato in questo post:
http://www.marcolancini.com/?p=620#comment-370
qui un altri webmaster caduti nella trappola di inserire il contatore nel suo sito:
http://pollycoke.net/2008/03/09/avviso-ai-naviganti-virus-stagionale/
http://www.marcostella.net/2008/03/09/addio-payperstats-decisione-obbligata/
questo è il messaggio ingannevole con il quale cercano di ingannarci per farci scaricare il malware
MacroAntivirus.exe
http://bp0.blogger.com/_CDS_SXPrm3A/R9bVMCTEkoI/AAAAAAAAAVY/EX9pYNwYXOI/s400/zzza2008-03-11_195207.jpg (http://bp0.blogger.com/_CDS_SXPrm3A/R9bVMCTEkoI/AAAAAAAAAVY/EX9pYNwYXOI/s1600-h/zzza2008-03-11_195207.jpg)
Esempio dello script delle statistiche di payperstats in azione:
http://bp0.blogger.com/_CDS_SXPrm3A/R9c5MyTEksI/AAAAAAAAAV0/XlxcdzpJVkE/s320/wmacroav.JPG (http://bp0.blogger.com/_CDS_SXPrm3A/R9c5MyTEksI/AAAAAAAAAV0/XlxcdzpJVkE/s1600-h/wmacroav.JPG)
Icona file malevolo:
http://bp0.blogger.com/_CDS_SXPrm3A/R9cGyyTEkpI/AAAAAAAAAVg/CI1_cd8mTfQ/s400/zzzb2008-03-11_232332.jpg (http://bp0.blogger.com/_CDS_SXPrm3A/R9cGyyTEkpI/AAAAAAAAAVg/CI1_cd8mTfQ/s1600-h/zzzb2008-03-11_232332.jpg)
Una prima cosa da fare è bloccare questo ip 64.237.33.148 dove sono presenti i malware.
Una volta eseguiti cercano di far scaricare altra immondizia da 85.255.114.141 che appartiene
all'arcinoto range di inhoster aka UkrTeleGroup Ltd. in blacklist da una vita come uno dei peggiori depositi di spazzatura esistente sul web
Purtroppo solo pochissimi Antivirus attualmente sono in grado di rilevare la minaccia:
http://bp0.blogger.com/_CDS_SXPrm3A/R9bUPCTEkmI/AAAAAAAAAVI/Bv2b8PJzREg/s1600-h/zzz2008-03-11_194730.jpg (http://bp0.blogger.com/_CDS_SXPrm3A/R9bUPCTEkmI/AAAAAAAAAVI/Bv2b8PJzREg/s1600-h/zzz2008-03-11_194730.jpg)
Analisi tecnica del virus e ulteriori notizie appena avro' un po' di tempo
Per il momento potete dare un'occhiata ai risultati della sandbox di sunbelt
http://cwsandbox.org/?page=samdet&id=65321&password=fwnrp
Fonte: Maipiugromozon blog by Mausap (alias Maverick) (http://maipiugromozon.blogspot.com/2008/03/attenzione-payperstats-ancora.html)
Rapidissimo post per segnalare una nuova minaccia da parte dei soliti noti italiani. Sono anni che scassano con i dialer. Adesso si sono messi addirittura a lavorare con gli ucraini di Inhoster che sono notoriamente tra i peggiori criminali informatici del mondo.
Evidentemente stanno cercando nuove forme di "business"
Payperstats fa scaricare malware, per cui chi vuole usufruire dei loro servizi di statistiche per le quali si riceve un compenso x numero di visitatori, sappia che si sta rendendo complice di un reato.
Lo script inserito nella pagina cerca di far credere ai malcapitati che il loro pc è infetto come viene spiegato in questo post:
http://www.marcolancini.com/?p=620#comment-370
qui un altri webmaster caduti nella trappola di inserire il contatore nel suo sito:
http://pollycoke.net/2008/03/09/avviso-ai-naviganti-virus-stagionale/
http://www.marcostella.net/2008/03/09/addio-payperstats-decisione-obbligata/
questo è il messaggio ingannevole con il quale cercano di ingannarci per farci scaricare il malware
MacroAntivirus.exe
http://bp0.blogger.com/_CDS_SXPrm3A/R9bVMCTEkoI/AAAAAAAAAVY/EX9pYNwYXOI/s400/zzza2008-03-11_195207.jpg (http://bp0.blogger.com/_CDS_SXPrm3A/R9bVMCTEkoI/AAAAAAAAAVY/EX9pYNwYXOI/s1600-h/zzza2008-03-11_195207.jpg)
Esempio dello script delle statistiche di payperstats in azione:
http://bp0.blogger.com/_CDS_SXPrm3A/R9c5MyTEksI/AAAAAAAAAV0/XlxcdzpJVkE/s320/wmacroav.JPG (http://bp0.blogger.com/_CDS_SXPrm3A/R9c5MyTEksI/AAAAAAAAAV0/XlxcdzpJVkE/s1600-h/wmacroav.JPG)
Icona file malevolo:
http://bp0.blogger.com/_CDS_SXPrm3A/R9cGyyTEkpI/AAAAAAAAAVg/CI1_cd8mTfQ/s400/zzzb2008-03-11_232332.jpg (http://bp0.blogger.com/_CDS_SXPrm3A/R9cGyyTEkpI/AAAAAAAAAVg/CI1_cd8mTfQ/s1600-h/zzzb2008-03-11_232332.jpg)
Una prima cosa da fare è bloccare questo ip 64.237.33.148 dove sono presenti i malware.
Una volta eseguiti cercano di far scaricare altra immondizia da 85.255.114.141 che appartiene
all'arcinoto range di inhoster aka UkrTeleGroup Ltd. in blacklist da una vita come uno dei peggiori depositi di spazzatura esistente sul web
Purtroppo solo pochissimi Antivirus attualmente sono in grado di rilevare la minaccia:
http://bp0.blogger.com/_CDS_SXPrm3A/R9bUPCTEkmI/AAAAAAAAAVI/Bv2b8PJzREg/s1600-h/zzz2008-03-11_194730.jpg (http://bp0.blogger.com/_CDS_SXPrm3A/R9bUPCTEkmI/AAAAAAAAAVI/Bv2b8PJzREg/s1600-h/zzz2008-03-11_194730.jpg)
Analisi tecnica del virus e ulteriori notizie appena avro' un po' di tempo
Per il momento potete dare un'occhiata ai risultati della sandbox di sunbelt
http://cwsandbox.org/?page=samdet&id=65321&password=fwnrp
Fonte: Maipiugromozon blog by Mausap (alias Maverick) (http://maipiugromozon.blogspot.com/2008/03/attenzione-payperstats-ancora.html)