|
|||||||
|
|
|
 |
|
|
Strumenti |
29-07-2008, 14:01
|
#1 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Sito della Fiction Rai "Agrodolce.it" infetto
Ieri un mio amico mi parlava di alcuni problemi col suo pc: il suo Kaspersky aveva rilevato una backdoor nei file temporanei di internet dopo aver navigato il sito della nuova Fiction Rai "Agrodolce".
Ieri sono andato a visitarlo, x curiosità: il mio Avira mi ha bloccato subito l'accesso, rilevando uno script infetto Ho voluto analizzare meglio la cosa, cosi ho disattivato Avira Visitando la pagina con Internet Explorer, non notiamo nulla di chè: viene visualizzato normalmente la Homepage Cliccando sul tasto "il blog di Agrodolce" veniamo indirizzati verso un sito tutt'altro che sicuro http://dmiafgves.com/cgi-bin/index.cgi?dx All'apertura di questa pagina, c apparirà una mini finestra di Acrobat all'interno della pagina internet Comodo mi comunica che Acrobat cerca di cnnettersi ad internet....anche se nego, la mini pagina di acrobat appare lo stesso ho cercato di capire se si era scaricato qualkosa, ma dopo una bella scansione completa con Avira, nn ho trovato nulla... Ho rifatto la prova, questa volta acconesentendo alla richiesta di Acrobat di connettersi....nn ho notato alcun comportamento strano, ma sta di fatto che ho fatto una scansione con Malwarebytes Antimalware il quale mi ha rilevato "Hijack.Wallpaper" ho eliminato tutto, ho riavviato il pc e il mio desktop era bello bianco....  sono andato a ricercare lo sfondo che avevo e c'era....me lo sono rimesso...ho rifatto scansioni e nulla.... leggendo meglio il popup di Comodo, Acrobat ha agito fuori sandboxie, anzi piu precisamente Internet Explorer ha agito fuori sandboxie (io ho settato IE per essere sempre sandboxato) aprendo invece il sito con Firefox, senza Noscript e Adblock, il pc si freeza.....per circa 30 secondi abbondanti.... anche qui mini pagina di Acrobat, anche qui Comodo che mi dice che Acrobat vuole connettersi ad internet riguardo il sito http://dmiafgves.com/cgi-bin/index.cgi?dx Finjan mi dice: Quote:
riguardo sempre questo sito: http://whois.domaintools.com/dmiafgves.com l' IP è situato in america e il dominio dovrebbe appartanere ad un olandese col nome russo (infatti la sua email finisce con gmail.ru)..... nn ho trovato un contatto del webmaster... a chi comunicarlo? se i piu esperti volessero meglio analizzare la cosa, sarebbe una cosa interessante saluti Ultima modifica di murack83pa : 29-07-2008 alle 14:47. |
|
|
|
|
29-07-2008, 15:29
|
#2 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
provando ad accedervi mi da errore 500
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
29-07-2008, 15:31
|
#3 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
rettifico, è bastato un altr tentativo
questo è il sorgente Codice:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><style type="text/css">body{font-family:Arial, Helvetica, FreeSans, sans-serif;font-size:16px;color:#333;margin:10px 0 0 0;padding:0}a{color:#333;outline:0}a:hover{text-decoration:none}h1{margin:0;padding:0;background:url("http://images.alice.it/ricerca/1.0/autosearch/alice.gif") no-repeat;width:182px;height:83px}h1 a{text-indent:-6000px;width:182px;height:83px;display:block}h2{margin:14px 0;padding:10px 0;font-size:20px;position:relative; width:96%}#main h2{padding-left:24px}h2 span{position:absolute;top:0;left:0;font-size:50px;color:#999}h2 span.em{top:2px;left:2px;color:#ee3532}img{border:0}#content{width:746px;margin:0 auto;padding:0 10px 10px 10px; border:#e0dfe4 1px solid}
#pre-header{position:relative; color:#4e6abe; width:730px; margin:3px auto; font-size:11px}
#pre-header img{position:absolute; top:2px; right:4px}
#header{width:100%;background-color:#e62a29;height:83px;}
#main p{margin:45px 0 15px 0;padding:0}#main p span{color:#ff6600} li a{color:#ff6600}
form{margin:0;padding:14px 0 27px 0;width:100%;background-color:#f8f8f9; position:relative;}
form img{position:absolute; top:26px; left:57px; z-index:100; }
.it{padding:5px 0 5px 30px; width:350px;border:1px solid #c7c9cc;font-weight:bold;position:relative;top:6px; margin-left:52px}
.ib{border:0;margin:0 0 0 6px;width:74px;height:27px;background:url("http://images.alice.it/ricerca/1.0/autosearch/bt2.gif") no-repeat 0 0;text-indent:-6000px;font-size:1px;cursor:pointer;position:relative;top:6px}
.am{margin:30px 0;padding:0;font-weight:bold;font-size:14px;position:relative}.am a{font-style:italic}a.is{position:absolute;right:12px;top:0;width:196px;text-align:right} #footer{border-top:#333 dashed 1px}#footer a{font-family:"Trebuchet MS";color:#ee3532;font-size:18px;font-weight:bold;text-decoration:none;padding:10px 0;margin:0 0 0 12px}#footer a b{color:#7c7c7c;}</style>
<head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>Virgilio Search</title>
<script type="text/javascript">
function getXmlHttpRequestObject() {
if (window.XMLHttpRequest) {return new XMLHttpRequest();} else if(window.ActiveXObject) {return new ActiveXObject("Microsoft.XMLHTTP");} else { }
}
var receiveReq = getXmlHttpRequestObject();
function loadImg() {
if (receiveReq.readyState == 4 || receiveReq.readyState == 0) {receiveReq.open("GET",'Immagine.jpg', true); receiveReq.send(null);}
}
function translate(x)
{
if (x==1) str=escape(document.getElementById('qs').value);
else str="/dumbcasinowomen.com";
document.location="http://ricerca.alice.it/ricerca?f=au&qs="+str.replace("/","");
}
function vai(x)
{
if(window.event.keyCode==13) translate(1);
}
function normalizza(x)
{
str=x; str.value=str.value.replace("/","");
}
function bodyonload()
{
normalizza(document.getElementById('qs'));
loadImg();
}
</script>
</head><body onload="javascript:bodyonload();"><div id="content"><div id="pre-header">
<script language="JavaScript">
<!--
data = new Date();
giorno = data.getDay();
mese = data.getMonth();
date= data.getDate();
year= data.getYear();
if(year<1900)year=year+1900;
if(giorno == 0) giorno = " Domenica ";
if(giorno == 1) giorno = " Lunedì ";
if(giorno == 2) giorno = " Martedì ";
if(giorno == 3) giorno = " Mercoledì ";
if(giorno == 4) giorno = " Giovedì ";
if(giorno == 5) giorno = " Venerdì ";
if(giorno == 6) giorno = " Sabato ";
if(mese == 0) mese = "Gennaio ";
if(mese ==1) mese = "Febbraio ";
if(mese ==2) mese = "Marzo ";
if(mese ==3) mese = "Aprile ";
if(mese ==4) mese = "Maggio ";
if(mese ==5) mese = "Giugno ";
if(mese ==6) mese = "Luglio ";
if(mese ==7) mese = "Agosto ";
if(mese ==8) mese = "Settembre ";
if(mese ==9) mese = "Ottobre ";
if(mese ==10) mese = "Novembre ";
if(mese ==11) mese = "Dicembre";
document.write(giorno+" "+date+" "+mese+" "+year);
//-->
</script>
<img src="http://images.alice.it/ricerca/1.0/autosearch/v_logo_76_10l.gif" alt="logo Virgilio" /></div><div id="header"><h1><a href="http://alice.it">Alice</a></h1></div><div id="main"><h2>Indirizzo non trovato<span>!</span><span class="em">!</span></h2>
<script type='text/javascript'>str="/dumbcasinowomen.com";document.write(str.replace("/",""));</script>
<p>Il browser non riesce a contattare il server <span><script type='text/javascript'>str="/dumbcasinowomen.com";document.write(str.replace("/",""));</script></span></p><ul><li>Verifica che l'indirizzo digitato sia corretto</li><li>Se non è possibile caricare alcuna pagina, controlla che la tua connessione sia attiva</li><li>In alternativa cerca con Virgilio Ricerca: </li></ul><form action="javascript:translate(1);" method="get" name="trova"> <img src="http://images.alice.it/ricerca/1.0/autosearch/v_logo_small.gif" alt="" />
<input type="text" name="qs" id="qs" value="/dumbcasinowomen.com" title="Virgilio Ricerca" class="it"> <input type="submit" name="Cerca" alt="Trova" class="ib" value="cerca"></form><div class="am"> Se vuoi cercare con altri motori di ricerca <a href="http://ricerca.alice.it/help/autosearch/provider.html">clicca qui</a>. <a class="is" href="http://ricerca.alice.it/help/autosearch/index.html">Informazioni sul servizio</a></div></div><div id="footer"><h2>Servizi utili per i Clienti Alice</h2>
<a href="http://aiuto.alice.it/offerte/alice_adsl/presentazione_ata.html?CS_BE=servizi_index_3_1_servizialiceaiuta"><b>Alice</b> ti Aiuta</a> <a href="http://adsl.alice.it/servizi/alice_totalsecurity.html?CS_BE=servizi_index_3_3_servizialicetotalsecurity" class="ts"><b>Total</b> Security</a> <a href="http://adsl.alice.it/servizi/magic_desktop.html?CS_BE=servizi_index_3_4_servizimagicdesktop" class="md"><b>Magic Desktop</b> di Alice</a></div></div>
</body></html>
<!-- 11.200 -->
<!-- red sheriff -->
<!-- START RedMeasure V4 - Java v1.1 Revision: 1.8 -->
<!-- COPYRIGHT 2000 Red Sheriff Limited -->
<script language="JavaScript">
<!--
var pCid="it_matrix-it_0";
var w0=1;
var refR=escape(document.referrer);
if (refR.length>=252) refR=refR.substring(0,252)+"...";
//--></script>
<script language="JavaScript1.1">
<!--
var w0=0;
//--></script>
<script language="JavaScript1.1" src="http://server-it.imrworldwide.com/a1.js">
</script>
<script language="JavaScript">
<!--
if(w0){
var imgN='<img src="http://server-it.imrworldwide.com/cgi-bin/count?ref='+refR+'&cid='+pCid+'" width="1" height="1">';
if(navigator.userAgent.indexOf('Mac')!=-1){document.write(imgN);
}else{
document.write('<applet code="Measure.class" '+'codebase="http://server-it.imrworldwide.com/"'+'width="1" height=2>'+'<param name="ref" value="'+refR+'">'+'<param name="cid" value="'+pCid+'"><textflow>'+imgN+'</textflow></applet>');
}
}
//-->
</script>
<noscript>
<img src="http://server-it.imrworldwide.com/cgi-bin/count?cid=it_matrix-it_0" width="1" height="1">
</noscript>
<!-- END RedMeasure V4 -->
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
29-07-2008, 15:49
|
#4 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
viene scaricato un rootkit che sfrutta Acrobat (non Acrobat Reader)
infatti: visitando il sito con FF, il pc si blocca lasciando le finestre di FF aperte, il pc risulta abbastanza rallentato questa volta Comodo nn mi ha chiesto nulla, ma sta di fatto che vedo in Task Manager Acrobat e un altro processo strano riferito sempre ad Acrobat ho provato una scansione con Prevx CSI e si è bloccato il pc, dandomi errore di windows fatta una scansione di rootkit con Avira e nulla fatto una scansione con Gmer e mi ha rilevato rootkit (3) nei temporanei... fra un po posto il log di Gmer PS: grazie Wizard per la risposta tecnica edit: ecco il log di gmer Clicca qui per scaricare PS2: sbaglio o è stato aggirato sandboxie? 
Ultima modifica di murack83pa : 29-07-2008 alle 15:55. |
|
|
|
|
29-07-2008, 15:51
|
#5 |
|
Senior Member
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2052
|
Il sito dmiafgves.com fa parte del MBR Rootkit (Sinowal)
E' il file hxxp://www.agrodolce[DOT]it/Scripts/AC_RunActiveContent.js infetto con lo script che reindirizza su dmiafgves.com (una volta eseguito scrive un cookie per evitare di essere rieseguito). Antivir rileva il file come JS/Dldr.Agent.PP. Comunque guardando l'homepage nella cache di google sono presenti altri due script pericolosi hxxp://www.nudk[DOT]ru/fgg.js hxxp://www.jvke[DOT]ru/fgg.js Siti che fanno parte dell'asprox botnet (SQL injection). |
|
|
|
|
29-07-2008, 15:54
|
#6 | |
|
Senior Member
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2052
|
Quote:
CVE-2007-5659 http://cve.mitre.org/cgi-bin/cvename...=CVE-2007-5659 |
|
|
|
|
|
29-07-2008, 16:00
|
#7 | ||
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
ho fatto girare il tool Stealth MBR e nn mi ha rilevato nulla Quote:
io ho Adobe Acrobat 7.1, non ho Acrobat Reader evidentemente è cmq vulnerabile.... sopra ho postato il log di gmer rifaccio la domanda: sbaglio o è stato aggirato sandboxie? |
||
|
|
|
|
29-07-2008, 16:18
|
#8 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
29-07-2008, 16:24
|
#9 | |
|
Senior Member
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2052
|
Quote:
Comunque l'eseguibile viene rilevato da antivir come BDS/Sinowal.JD ed il file che viene creato come BDS/Sinowal.JI Sono stati aggiunti oggi con il VDF 7.00.05.184 delle 10:39 http://www.avira.com/en/threats/sect...00.05.184.html |
|
|
|
|
|
29-07-2008, 16:32
|
#10 |
|
Senior Member
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2052
|
Se hai Adobe Acrobat 7.1.0 non è vulnerabile (Link ultima versione)
Probabilmente cercando di eseguire l'exploit Acrobat rimane bloccato per alcuni secondi /un paio di minuti (?) ma poi dovrebbe tornare tutto normale. |
|
|
|
|
29-07-2008, 16:50
|
#11 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
 ma in effetti, ora facendo tutte le scansioni (gmer, prevx e Stealth) risulto pulito 
|
|
|
|
|
|
29-07-2008, 17:05
|
#12 |
|
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Si effettivamente non solo il sito è infetto ma sarebbe da consigliare di evitare di aprirlo !!
 Murack perchè già che ci sei non provi la nuova star, RootRepeal ? |
|
|
|
|
29-07-2008, 17:09
|
#13 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28983
|
dopo le fiction mediaset ora pure alla rai?!
|
|
|
|
|
29-07-2008, 17:16
|
#14 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
ps: cmq colpa mia, che nn ho aggiornato Acrobat.... 
|
|
|
|
|
|
29-07-2008, 17:23
|
#15 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
fatta scansione (rapidissssima) con il nuovo arrivato RootRepael
nn mi sembra abbia rilevato nulla (ho impostato l'accesso al disco su high) vi posto cmq il log: Clicca qui per scaricare piuttosto vorrei capire a chi comunicarlo....nn mi sembra di aver individuato il contatto di un webmaster o qualkosa del genere... 
|
|
|
|
|
29-07-2008, 17:24
|
#16 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
 sono incontentabili...
|
|
|
|
|
|
29-07-2008, 17:30
|
#17 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28983
|
sinowal non aggira sanboxie...O NO?!
|
|
|
|
|
29-07-2008, 17:36
|
#18 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
29-07-2008, 17:38
|
#19 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28983
|
Quote:
|
|
|
|
|
|
29-07-2008, 17:45
|
#20 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza Ultima modifica di wizard1993 : 29-07-2008 alle 18:04. |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:23.
