Venerdì 2 Maggio 2008

Gli analisti di Trend Micro hanno scoperto circa 2 ore fà 90 siti Italiani compromessi, al momento sembrano tutti attivi quindi potenzialmente infetti.

I siti compromessi contengono codice JavaScript offuscato che redirige il Browser ad un' URL maligno il cui IP può essere fatto risalire a nord degli Stati Uniti, che a sua volta scarica sul PC del malcapitato il Trojan idenifcato da Trend Micro come TROJ_SINOWAL.CB ovvero MBR Rootkit.

Rimaniamo in attesa di ulteriori notizie

Fonte: TrendLabs Malware Blog (http://blog.trendmicro.com/one-year-later-italian-job-still-working-overtime/)

"Si so' svejatiiiiiiiiiiiiiiiii, sor marchese" :-)

Io ad aruba ho segnalato la cosa per mail parecchi giorni fa.
Risposta zero

Su myspace sabrina salerno o chi per lei ha comunicato la cosa che gli avevo scritto io

"Si so' svejatiiiiiiiiiiiiiiiii, sor marchese" :-)

Io ad aruba ho segnalato la cosa per mail parecchi giorni fa.
Risposta zero

Su myspace sabrina salerno o chi per lei ha comunicato la cosa che gli avevo scritto io

infatti:

* A Johnny Depp fan site
* The official site of Monica Bellucci (famous Italian model-actress)
* The Mercedes-Benz club of Italy
* A fan site of Pearl Jam
* The official Web page of Sabrina Salerno (Italian singer)

Segnalato anche io, non mi hanno degnato di nota...
Ho sistemato le pagine 'modifiche' sui miei domini, ora mi sorge una domanda...
Come posso essere sicuro di non essere stato infettato?
Ho provato i 3 tool alla pagina : http://maipiugromozon.blogspot.com/ ed entrambi mi hanno detto che il sistema è pulito, il registro non sembra modificato e non ho processi attivi 'strani'.
Altri modi per ferificare l'MBR ed eventuali infezioni'

Grazie.

Segnalato anche io, non mi hanno degnato di nota...
Ho sistemato le pagine 'modifiche' sui miei domini, ora mi sorge una domanda...
Come posso essere sicuro di non essere stato infettato?
Ho provato i 3 tool alla pagina : http://maipiugromozon.blogspot.com/ ed entrambi mi hanno detto che il sistema è pulito, il registro non sembra modificato e non ho processi attivi 'strani'.
Altri modi per ferificare l'MBR ed eventuali infezioni'

Grazie.

Direi che i tre tool indicati da Mausap sono più che sufficienti per i controlli del caso, potresti indicarci quali sono i siti che hai bonificato, thx :)

www.mondoirc.net
www.darkangelitalia.net

Lunedì 5 Maggio 2008

Mentre sto ripetendo alcune scansioni in rete su domini che gia' presentavano il problema dello script che linkava a MBR rootkit faccio notare una nuovo leggermente diverso codice di script offuscato che sembrerebbe non essere riconosciuto da Kaspersky Antivirus, almeno nella versione online.

A differenza di altri noti che redirigono su ces2vif.com questo script presente su...continua (http://edetools.blogspot.com/2008/05/aggiornamenti-script-mbr-rootkit.html)

Fonte: Edgar's Internet Tools (http://edetools.blogspot.com/2008/05/aggiornamenti-script-mbr-rootkit.html)

da un velocisso controllo sull' IP 62.149.140.18 risultano infetti oltre a ristoreggio[dot]it:

ostiachat[dot]it segnalato anche da Google
comonight[dot]com

Piccolo aggiornamento riguardo a siti con script ancora presenti e risposta AV

http://edetools.blogspot.com/2008/05/aggiornamento-mbr-rootkit-malware.html

Una analisi con virus total dei recenti script che linkano a malware MBR rootkit dimostra che ora abbiamo qualche software in piu' che riconosce la minaccia.

Questa una analisi VT al codice ancora contenuto,al momento di scrivere il post, su
(immagine sul blog )

mentre per quanto si riferisce allo script leggermente diverso e che al momento e' sempre presente su
(immagine sul blog )

vi sono alcune differenze rispetto al report precedente
(immagine sul blog )


Al momento rimangono ancora da bonificare anche altri siti tra i quali
(immagine sul blog )

fonte: http://edetools.blogspot.com/2008/05/aggiornamento-mbr-rootkit-malware.html

Edgar :D