Nuovo virus individuato solo da 4 AV su virustotal!!!!

[mausap]

Attenzione a questi 2 siti che poi puntano allo stesso IP

---italian.eazel.com----
---italian.ircfast.com-----

209.85.60.76

I siti sono civetta e fanno uso di tecniche di ingegneria sociale per far scaricare un malware dell'insolita dimensione di 1 MB.
Notare che i furbacchioni hanno scritto "Scaricare Software - Software esente da virus" :-) :-)

Su virustotal solo 4 lo individuano e sono antivir, drweb, panda, esafe

Gia' ho comunicato la cosa sul blog dell'amico della prevx speiamo che lo aggiunga subito

Ah un altro sito da evitare come la peste bubbonica è

----mprogrammi.net---

ospitato sui server USA intercage, che poi usano il solito script per infettare , il che vuol dire Gromozon/dialcall al 100%

[mausap]

Attenzione che questi siti sono indicizzati benissimo su google.
Nei primi 20 risultati.

[c.m.g]

grande mausap!!!

[Knight of the old Republic]

Madonna che cosa brutta vedere kav che non riconosce il file come viruz
Antivir sta sempre più prendendo posizione

[mausap]

é possibile fare soldi con i virus il numero di infezioni messe a punto a vere e proprie organizzazioni criminali che hanno la faccia rispettabile di societa' che offrono servizi internet da un lato e dall'altro spammano truffano (scam) e diffondono rootkit difficilissimi da scovare per rubare dai sensibili o fare Ddos è cresciuto esponezialmente. Molto attivi sono i Russi e gli ucraini che adesso se la sono presa con l'italia ma prima hanno fatto sfracelli con lo spam e gli spyware - adware in tutto il mondo. Anche la Spagna mi pare che stia per entrare nell'occhio del ciclone. La cosa incredibile è che la maggior parte dei server sono negli Usa ma ho il sospetto che certe pagine funzionino solo con Ip di certe aree geografiche. Altrimenti gia' sarebbero stati chiusi da un pezzo. Per quelli in russia e ucraina invece ci vuole il kgb e l'intervento di putin :-) :-)

Infatti sembra che l'infezione sia per quelli non di lingua inglese.
---www.eazel.com--- che il sito principale poi ha dei link in varie lingue. Tutti i link con la bandiera francese italiana tedesca portoghese
sono identici e sembrano archivi di programmi ma in realta' ne hanno solo
1 che è un virus.

Per la versione spagnola c'è ----www.ircfast.com---------

[giannola]

intervento che starebbe bene in malware ultima frontiera nei 3d ufficiali.

Ora lo metto in quote di là.

[wizard1993]

Quote:

Originariamente inviato da giannola

intervento che starebbe bene in malware ultima frontiera nei 3d ufficiali.

Ora lo metto in quote di là.

e comunicare magari i siti ai vari produttori antivirali;

[sampei.nihira]

Quote:

Originariamente inviato da mausap

Attenzione a questi 2 siti che poi puntano allo stesso IP

---italian.eazel.com----
---italian.ircfast.com-----

209.85.60.76

I siti sono civetta e fanno uso di tecniche di ingegneria sociale per far scaricare un malware dell'insolita dimensione di 1 MB.
Notare che i furbacchioni hanno scritto "Scaricare Software - Software esente da virus" :-) :-)

Su virustotal solo 4 lo individuano e sono antivir, drweb, panda, esafe

Gia' ho comunicato la cosa sul blog dell'amico della prevx speiamo che lo aggiunga subito

Ah un altro sito da evitare come la peste bubbonica è

----mprogrammi.net---

ospitato sui server USA intercage, che poi usano il solito script per infettare , il che vuol dire Gromozon/dialcall al 100%

Grazie mausap hai fatto la prova anche con il virus scan Jotti ?
Io sono sempre più convinto che oggi giorno,tralasciando nel discorso gli altri sistemi di prevenzione e parlando ECLUSIVAMENTE di antivirus la scelta debba ricadere su antivirus con euristica avanzata in ottima posizione nei test di AV.
Ogni antivirus con le firme aggiornate può essere "ottimo".
Il problema,sempre più frequente mi sembrano questi 0-days.
Occorre orientarsi verso antivirus con motore euristico avanzato,almeno in linea generale preventiva......

[wizard1993]

Quote:

Originariamente inviato da sampei.nihira

Grazie mausap hai fatto la prova anche con il virus scan Jotti ?
Io sono sempre più convinto che oggi giorno,tralasciando nel discorso gli altri sistemi di prevenzione e parlando ECLUSIVAMENTE di antivirus la scelta debba ricadere su antivirus con euristica avanzata in ottima posizione nei test di AV.
Ogni antivirus con le firme aggiornate può essere "ottimo".
Il problema,sempre più frequente mi sembrano questi 0-days.
Occorre orientarsi verso antivirus con motore euristico avanzato,almeno in linea generale preventiva......

magqari affiancati da un efficente hips o cips

[mausap]

per quello che ho visto navigare sul web con windows crea molti problemi per via degli exploit che vengono utilizzati da pagine che sono posizionate nei primi risultati di google.Per cui è molto facile finirci sopra. Il problema principale è il mezzo di diffusione che è cambiato. Prima era la posta che ormai funziona molto poco visto che adesso si possono utilizzate le webmail
mentre ora sono i motori di ricerca. Forse è il caso di comunicare a Google iItalia, Yahoo e MSN di escludere le pagine web ospitati da questi server (tutti gestiti da russi)

195.225.176.0-195.225.179.255 NETCATHOST Ucraina
195.234.159.0 - 195.234.159.255 LINO-NET Israele
85.255.112.0-85.255.127.255 Inhoster hosting company Ucraina
69.50.160.0-69.50.191.255 InterCage, Inc. USA
81.29.240.0-81.29.242.63 GLOBALTRADE-NET-1 Russia
67.15.64.166-67.15.64.168 Exploit su questi 3 ip USA
69.31.0.0 - 69.31.143.255 Pilosoft, Inc USA
66.230.128.0 - 66.230.191.255 ISPrime, Inc USA
208.66.195.78 McColo Corporation USA (probabilmente tutto il range)
204.13.160.26 Oversee.net USA (probabilmente tutto il range)
216.195.32.0 - 216.195.63.255 Dimago Overseas GmbH NET
216.255.176.0 - 216.255.191.255 InterCage USA
195.95.218.0 - 195.95.219.255 INHOSTER Ucraina
69.22.128.0 - 69.22.191.255 nLayer Communications - InterCage USA
64.28.176.0 - 64.28.191.255 Cernel, Inc - InterCage, Inc. USA

mentre questo Ip 209.85.60.76

è quello del malware di 1mb (non mi pare la stessa mano di quelli di gromozon... forse sono spagnoli)

Bloccateli sul firewall

[Kars]

Quote:

Originariamente inviato da mausap

per quello che ho visto navigare sul web con windows crea molti problemi per via degli exploit che vengono utilizzati da pagine che sono posizionate nei primi risultati di google.Per cui è molto facile finirci sopra. Il problema principale è il mezzo di diffusione che è cambiato. Prima era la posta che ormai funziona molto poco visto che adesso si possono utilizzate le webmail
mentre ora sono i motori di ricerca. Forse è il caso di comunicare a Google iItalia, Yahoo e MSN di escludere le pagine web ospitati da questi server (tutti gestiti da russi)-cut-

Windows non centra in questo caso, casomai sono i browsers...cmq. Come hai ben detto questi siti fanno uso di tecniche di ingegneria sociale per far scaricare il software a pagamento, in questo caso non vendono i programmi ma solo il servizio di scarico. Sarebbe perfettamente legale se non fossero rispettate delle ovvie norme per la tutela degli utonti.
Inoltre ho provato personalmente se si celavano malware dietro l'istallazione dell' utility, non trovando nulla di strano. Naturalmente non ho continuato l'istallazione visto che volevano essere pagati, pero' ho notato che il programma richiesto veramente viene scaricato prima di effettuare il pagamento (credo per precauzione) e l' utility di scarico e' soggetta ad un banalissimo invalid input...
Inoltre, non e' la prima volta che ho sentito di queste tecniche fraudolente. Conosco almeno 2 persone che hanno scaricato Emule pagando tramite sms ai 199* (la stessa cosa dell'utility sopra). Ai voglia a spiegargli che il primo link che viene ricercando emule e' un link fraudolento, trall'altro sponsorizzato da google italia, dalla quale si scarica una versione menomata di emule, emule plus che e' monca della rete kad e chissa di cosa altro. Su questo google non e' del tutto estranea ai fatti.
ciao

[mausap]

Quote:

Originariamente inviato da Kars

Windows non centra in questo caso,

Gli exploit ed i rootkit di questi siti sono per windows. Anche se la vulnerabilita' fosse ad esempio di firefox o safari o qualsiasi altro browser poi non succederebbe nulla perche' sono software per win.Se ci sono exploit che automaticamente installano rootkit (come ad esempio Gromozon) per altre piattaforme faccelo sapere. Io non ne so nulla.
.

[juninho85]

ottima segnalazione,grazie

Quote:

Originariamente inviato da mausap

Attenzione a questi 2 siti che poi puntano allo stesso IP

---italian.eazel.com----
---italian.ircfast.com-----

209.85.60.76

I siti sono civetta e fanno uso di tecniche di ingegneria sociale per far scaricare un malware dell'insolita dimensione di 1 MB.
Notare che i furbacchioni hanno scritto "Scaricare Software - Software esente da virus" :-) :-)

Su virustotal solo 4 lo individuano e sono antivir, drweb, panda, esafe

Gia' ho comunicato la cosa sul blog dell'amico della prevx speiamo che lo aggiunga subito

Ah un altro sito da evitare come la peste bubbonica è

----mprogrammi.net---

ospitato sui server USA intercage, che poi usano il solito script per infettare , il che vuol dire Gromozon/dialcall al 100%

L'euristica di Panda software con il suo True Prevent becca e rimuove tutto mentre il tanto amato, in questo forum, Kaspersky non lo vede proprio.....

Riflettete

[c.m.g]

si va beh, è gli asini sanno anche volare!

[juninho85]

Quote:

Originariamente inviato da StarTac

L'euristica di Panda software con il suo True Prevent becca e rimuove tutto mentre il tanto amato, in questo forum, Kaspersky non lo vede proprio.....

Riflettete

lo dico io: panda è meglio del kaspersky

[wizard1993]

Quote:

Originariamente inviato da juninho85

lo dico io: panda è meglio del kaspersky

nell'euristica forse; ma nel pdm io ci ho provato ha battuto una tale craniata che ha rimblazato 15 volte

[juninho85]

Quote:

Originariamente inviato da wizard1993

nell'euristica forse; ma nel pdm io ci ho provato ha battuto una tale craniata che ha rimblazato 15 volte

non ho mai provato panda,ma a leggere le comparative immagino...medita

[wizard1993]

Quote:

Originariamente inviato da juninho85

non ho mai provato panda,ma a leggere le comparative immagino...medita

io l'ho provato; l'ultima versione decente di quel software è la 2005 a mio avviso

[c.m.g]

Quote:

Originariamente inviato da wizard1993

io l'ho provato; l'ultima versione decente di quel software è la 2005 a mio avviso

infatti, io prima usavo panda e la 2005 era ottima, quindi confermo quanto detto da wizard ma ora è peggiorato!