PDA

View Full Version : [ATTENZIONE ]Sito superantispyware hakerato

GmG
25-11-2008, 15:39
Il sito di superantispyware è stato violato.

http://www.virustotal.com/it/analisis/bb49be47d81147a53c6a565aaba3c20d

E' stato inseirto un javascript offuscato che contiene un iframe che reindirizza al sito
amigohello[DOT]com
che reindirizza al sito googl-stats[DOT]com
il quale esegue un exploit

http://www.virustotal.com/it/analisis/fde4867e09f0c0c3ca9530a5e54ebea3

e scarica un malware

http://www.virustotal.com/it/analisis/a3dd144875dcc91d9bc5b87e8e7a800b
Chill-Out
25-11-2008, 16:39
Grazie della segnalazione ;)

Della serie mai abbassare la guardia anche se il report di VT http://www.virustotal.com/it/analisis/bb49be47d81147a53c6a565aaba3c20d inquieta :rolleyes:
sampei.nihira
25-11-2008, 17:05
Ho provato ad aprire il sito,ecco il primo avviso di AVIRA:

http://img03.picoodle.com/img/img03/3/11/25/t_super1m_23e1a09.jpg (http://www.picoodle.com/view.php?img=/3/11/25/f_super1m_23e1a09.jpg&srv=img03)


Ho provato successivamente a fare due cose.

a) Rispondere "Ignora".

b) Disattivare " l'Antivir guard".

Caso (a) tutto tace almeno per un pò cioè la pazienza che ho avuto io !!

Caso (b) idem con patate !!

L'accesso al sito è stato effettuato con Opera ridotto nei privilegi quindi come se fosse in account limitato,Java e Javascript attivo.
EQS attivo,RVS attivo.
Quindi ho proceduto a fare uno scan del pc con AVIRA nessun problema rilevato.
GOLDRAKES
25-11-2008, 17:18
Confermo ecco cosa appare dopo aver aperto il sito : È stato rilevato e bloccato il tentativo di intrusione "HTTP Acrobat PDF Suspicious File Download" nel computer in uso.
Autore dell'intrusione: googl-analisys.com(74.200.71.22)(http(80)).
Livello di rischio: Alto.
Protocollo: TCP.
IP attaccato: localhost.
Porta attaccata: 3041.
ed ancora
È stato rilevato e bloccato il tentativo di intrusione "HTTP Microsoft IE Generic Heap Spray BO" nel computer in uso.
Autore dell'intrusione: googl-analisys.com(74.200.71.22)(http(80)).
Livello di rischio: Alto.
Protocollo: TCP.
IP attaccato: localhost.
Porta attaccata: 3041.
Draven94
25-11-2008, 18:10
[cut]
L'accesso al sito è stato effettuato con Opera ridotto nei privilegi quindi come se fosse in account limitato,Java e Javascript attivo.
[cut]


come si attiva questa modalità in opera? :p
sampei.nihira
25-11-2008, 18:17
come si attiva questa modalità in opera? :p


Non è una modalità di Opera uso DropMyRights abbinato all'apertura di Opera (ma non solo).

Ho provato adesso ad inviare ancora una volta per precauzione il file responsabile del primo avviso di virus al VirusTotal sempre 2 risultati positivi,mentre al Virus scanJotti solo Avira lo rileva.
Draven94
25-11-2008, 18:32
Non è una modalità di Opera uso DropMyRights abbinato all'apertura di Opera (ma non solo).

Ho provato adesso ad inviare ancora una volta per precauzione il file responsabile del primo avviso di virus al VirusTotal sempre 2 risultati positivi,mentre al Virus scanJotti solo Avira lo rileva.
Grazie ;)
GmG
25-11-2008, 18:38
Il sito ora è pulito. :)
eraser
25-11-2008, 18:47
Il sito ora è pulito. :)

Si infatti, mi sembrava.

Stavo guardando ma vedevo tutto pulito. Ok che sto male per cui qualcosa mi può sfuggire tranquillamente (ebbene si, il virus dell'influenza mi ha infettato: W32.Flu.2008.gen), ma proprio non riuscivo a notare niente di anormale.

Potresti inviarmi in privato i sample? Grazie mille
sampei.nihira
25-11-2008, 18:58
Si infatti, mi sembrava.

Stavo guardando ma vedevo tutto pulito. Ok che sto male per cui qualcosa mi può sfuggire tranquillamente (ebbene si, il virus dell'influenza mi ha infettato: W32.Flu.2008.gen), ma proprio non riuscivo a notare niente di anormale.

Potresti inviarmi in privato i sample? Grazie mille

:D :D

Io invece ho il virus del raffreddore !!!
Ho provato ad "immunizzarmi" con Cebion 500 mg (vitamina C) 3 compresse al dì che corrispondono ad una dose di vitamina C contenuta negli aranci pari al consumo di 25 aranci/gg ma.......:rolleyes: :rolleyes:
eraser
25-11-2008, 20:39
Ok, grazie a Matteo ho ricevuto il malware. Giusto mi serviva per mostrare meglio una cosa agli utenti di Prevx Edge.

Come è possibile vedere, il malware alla fine che viene scaricato è:

http://www.virustotal.com/it/analisis/6da378604e3253c66240e7d4dfbc6d74

e Prevx non lo identifica su VirusTotal. Questo perché la firma virale non è stata ancora aggiunta. Qui entra in gioco una delle tecnologie euristiche presenti in Prevx Edge, che riconosce e blocca l'infezione immediatamente (appena è comparsa online).

http://img505.imageshack.us/img505/7751/edgemalwareeu0.jpg
leolas
25-11-2008, 20:40
:D :D

Io invece ho il virus del raffreddore !!!
Ho provato ad "immunizzarmi" con Cebion 500 mg (vitamina C) 3 compresse al dì che corrispondono ad una dose di vitamina C contenuta negli aranci pari al consumo di 25 aranci/gg ma.......:rolleyes: :rolleyes:

Sì, così poi ci lasci per ipervitaminosi :O :stordita: :ciapet: