c.m.g
18-04-2008, 10:21
giovedì 17 aprile 2008
Prendo lo spunto da un interessante post di edgar riguardante l'hack di alcuni domini .it
http://edetools.blogspot.com/2008/04/aggiornamenti-vari-16-aprile.html
per fare una veloce analisi di un nuovo infame range spazzatura.
Partiamo dal seguente sito traffurl.ru ospitato su 78.129.166.30 sul quale sono presenti exploit.
Sullo stesso server sono ospitati anche i seguenti domini
1counter.info
Googleset.info
X-traff.info
http://bp0.blogger.com/_CDS_SXPrm3A/SAfewd8qhLI/AAAAAAAAAXc/o5jAk4-m6NA/s400/www2008-04-18_010313.jpg
(http://bp0.blogger.com/_CDS_SXPrm3A/SAfewd8qhLI/AAAAAAAAAXc/o5jAk4-m6NA/s1600-h/www2008-04-18_010313.jpg)
notare qui sotto l'ip 58.65. 236.9 di Hostfresh HongKong il che vuol dire RBN (Russian Business Network)
http://bp2.blogger.com/_CDS_SXPrm3A/SAfuq98qhNI/AAAAAAAAAXs/x1LKsG3foWI/s400/wwwwlookup+traffurl.PNG (http://bp2.blogger.com/_CDS_SXPrm3A/SAfuq98qhNI/AAAAAAAAAXs/x1LKsG3foWI/s1600-h/wwwwlookup+traffurl.PNG)
il range da bloccare è 78.129.166.0 - 78.129.166.255 attribuito alla fantomatica FeelItaly LLC (Italy)
http://bp1.blogger.com/_CDS_SXPrm3A/SAfZ-t8qhJI/AAAAAAAAAXM/TTdtDy1oDUo/s400/www2008-04-18_004900.jpg (http://bp1.blogger.com/_CDS_SXPrm3A/SAfZ-t8qhJI/AAAAAAAAAXM/TTdtDy1oDUo/s1600-h/www2008-04-18_004900.jpg)
AS29131 RAPIDSWITCH Ltd - London UK - IP range involved - 78.129.128.0/17
feelitaly.net risulta registrato da un russo
Anche su castlecops c'è un post che conferma che sul range vengono ospitati malware
http://www.castlecops.com/Trojan_Downloader_malware8502.html
Pubblicato da maverick
Fonte: Maipiugromozon blog by Mausap alias maverick (http://maipiugromozon.blogspot.com/2008/04/un-nuovo-pericoloso-range-immondizia.html)
Prendo lo spunto da un interessante post di edgar riguardante l'hack di alcuni domini .it
http://edetools.blogspot.com/2008/04/aggiornamenti-vari-16-aprile.html
per fare una veloce analisi di un nuovo infame range spazzatura.
Partiamo dal seguente sito traffurl.ru ospitato su 78.129.166.30 sul quale sono presenti exploit.
Sullo stesso server sono ospitati anche i seguenti domini
1counter.info
Googleset.info
X-traff.info
http://bp0.blogger.com/_CDS_SXPrm3A/SAfewd8qhLI/AAAAAAAAAXc/o5jAk4-m6NA/s400/www2008-04-18_010313.jpg
(http://bp0.blogger.com/_CDS_SXPrm3A/SAfewd8qhLI/AAAAAAAAAXc/o5jAk4-m6NA/s1600-h/www2008-04-18_010313.jpg)
notare qui sotto l'ip 58.65. 236.9 di Hostfresh HongKong il che vuol dire RBN (Russian Business Network)
http://bp2.blogger.com/_CDS_SXPrm3A/SAfuq98qhNI/AAAAAAAAAXs/x1LKsG3foWI/s400/wwwwlookup+traffurl.PNG (http://bp2.blogger.com/_CDS_SXPrm3A/SAfuq98qhNI/AAAAAAAAAXs/x1LKsG3foWI/s1600-h/wwwwlookup+traffurl.PNG)
il range da bloccare è 78.129.166.0 - 78.129.166.255 attribuito alla fantomatica FeelItaly LLC (Italy)
http://bp1.blogger.com/_CDS_SXPrm3A/SAfZ-t8qhJI/AAAAAAAAAXM/TTdtDy1oDUo/s400/www2008-04-18_004900.jpg (http://bp1.blogger.com/_CDS_SXPrm3A/SAfZ-t8qhJI/AAAAAAAAAXM/TTdtDy1oDUo/s1600-h/www2008-04-18_004900.jpg)
AS29131 RAPIDSWITCH Ltd - London UK - IP range involved - 78.129.128.0/17
feelitaly.net risulta registrato da un russo
Anche su castlecops c'è un post che conferma che sul range vengono ospitati malware
http://www.castlecops.com/Trojan_Downloader_malware8502.html
Pubblicato da maverick
Fonte: Maipiugromozon blog by Mausap alias maverick (http://maipiugromozon.blogspot.com/2008/04/un-nuovo-pericoloso-range-immondizia.html)