Tutti giorni qui vengono bloccati sei o sette commenti spam della suddetta ditta criminale. Il contadino si diverte a leggere i nomi degli ultimi domini che hanno creati. attaco.info e bellezze.info, susesso.org hanno due giorni di vita, Linux41.org e dalailamamiami.org devono essere un po' più vecchio. NON andarci con Windows, neanche con Firefox! Hanno creato una miriade di sottodomini (totti.atacco.info, per esempio, spesso con dei numeri all'inizio) e visitarli caricano javascript, immagini infette e redirect, e prendono di mira soprattutto l'Italia, pare.
Aggiornamento: C'è chi ha lavorato notte interi a studiare quel che succede se uno si infesta il PC visitando questi siti, per esempio cliccando il "installa www.google.com". Qui un pdf dettagliato.
Il contadino penso che conviene riformattare è subito dopo installare una distro di Linux; sì può adoperare tutti e due e imparare di usare Linux con calma.
E qui una descrizione di quel che succede in italiano. Che è l'Italia che è stato preso di mira.
La figlia del contadino, usando la partizione di XP (abbandonato un bel po', con Antivirus aggiornato a gennaio) qualche giorno fa è riuscito di infettarla, pare, semplicemente visitando il primo link di Google su una ricerca specifica. Firefox si piantava, lo riavvia, si ripianta anche nel prossimo tentativo, poi i contadino riconosce quel dominio. Beh, oggi ha trovato aperto XP, si è connesso e il firewall dice che "Esplora risorse" vuole andare su Internet. Lo blocca, e del log si vede che ritenta continuamente. Fa una prova, va a visitare bellezze.info, spunta il firewall che dice che il programma MS.EXE è stato cambiato, se si vuole autorizzare la nuova versione. Una ricerca mette a luce il file MS.EXE-261D9F80.pf, che al contadino piace poco. Ora si potrebbe spendere ore in ricerche e aggiornamenti di Antivirus e antyspyware. Intanto riavvia e torna su Linux. Meglio sarebbe di cancellare la partizione XP. Se riesce di convincere la figlia di abbandnare il suo pegasus per l'email cancella la partizione.
Fanno la migliore pubblicità a sistemi UNIX come Linux e Mac, questi ucraini. Se si legge cosa una deve fare per liberarsi di uno di questi rootkit ci si compassiona. E' meglio cercare un po' di driver per Linux e anche molto più soddisfaccente. Con tutti questi soldi che spendono per nuovi domini gli deve rendere, il loro lavoro. Forse installano keylogger per spiare tutto quello che viene digitato (password compresi), forse usano il tuo PC solo per mandare diecimila spam al giorno o per far attacchi DOS, forse fanno una rete di PC-zombies e la vendono...
Ma usando Windows sei complice, contro volontà. Aggiorna l'antivirus, subito.
aggiornamento: Aggiornato l'antivirus (Antivir) e fatto uno scan: Niente, dice. Ma appena si lancia l'Explorer, aprendo una cartella per esempio, quello vorrebbe subito andare qui:
Beh, tutti e due fanno un redirect immediato su msn.com; una ricerca per "shiptrop.com" non da alcun risultato. Misteri di Windows, e un altro motivo di abbandonarlo.
Ma esiste, shiptrop.com:
Domain Name: SHIPTROP.COM
Registrant:
shiptrop.com
Noah Woodfork (admin@shiptrop.com)
State St. 40 89
MEMPHIS
TN,38118
US
Tel. +1.9018183787
Creation Date: 23-Feb-2006
Expiration Date: 23-Feb-2007
commenti (11)
Sono dei gran bastardi. Io li manderei al fronte a farsi uccidere da quelli che giocano ai soldatini.
Veramente, l'unica cosa è scrivere gli script di propria mano.
Io li chiamo spammer di merda e li considero al pari dei furbetti del quartiere con i colletti bianchi e la coscenza oscura....
tomas | 18.08.06 01:50
18.08.06 01:50
Una cosa è spammare per onl*ne c*sino, cybersesso, programmi craccati e medicinali: sei te che decidi. Ma questo che fanno loro è tutto un altra cosa, una violazione della sfera privata entrandoti, rovistando tutto e derubarti.
ste | 18.08.06 08:41
18.08.06 08:41
Putroppo avevo già parlato di questa cosa un paio di mesi fa, prospettando una semi-catastrofe, che in effetti è poi avvenuta. :(
C'è pieno di messaggi di gente infettata da questi criminali che chiede aiuto, e non voglio neanche pensare a quanti sono infettati e non se ne sono accorti. Purtroppo creano nuove versioni dei trojan quotidianamente, e quasi sempre sono "mancate" da tutti gli antivirus, molti dei quali hanno tempi inaccettabili per l'inclusione di firme per il riconoscimento. Inoltre come detto questi trojan sono molto invasivi e un antivirus non riuscirà mai a toglierli automaticamente su un computer già infettato: serve un lavoro certosino di rimozione manuale. :(
TNT | 19.08.06 20:54
19.08.06 20:54
Infatti, la partizione di windows pare infettato di qualcosa, e nessuno ha cliccato ok sulla finestra "Installa Google.com che è un file DOS".
Per la cronaca, i nuovi domini sono:
ecoexpo.[org]
bahbah.[info]
muinais.[info]
ste | 19.08.06 21:31
19.08.06 21:31
E' SICURAMENTE infetta. 195.225.177.22 è un dominio di questa gang di criminali; non fatevi ingannare dal fatto che digitando semplicemente quell'IP nel browser redirige a msn.com: in realtà è una redirezione su server, non hanno NULLA a che fare con MSN. Putroppo se Windows non è aggiornatissimo alle ultime patch (o protetto con altri metodi di "hardening"), ogni apertura di una di quelle pagine con IE, Firefox o Opera significa infezione immediata.
Grazie per i domini.
TNT | 19.08.06 21:35
19.08.06 21:35
I didn't realize that you were cut the crap ;-)
Se ti interessano altri domini:
organicchurch.[org]
www.ueberl33t.[info]
jnor.[org]
tuttalanotte.[info]
daitrader.[com]
modzone·[info]
italiastar.[org]
Con windows mi sono sempre fidato del vecchissimo Firewall Outpost free, che prontamente intercettava "Esplora risorse" e se ne accorto che un programma è stato modificato.
ste | 19.08.06 22:58
19.08.06 22:58
Grazie (parlo Italiano, credo che si sia capito). ;)
Purtroppo chi, al contrario di te, continuerà a lasciare che chiunque possa postare commenti ai blog e nei guestbook non farà altro che fare il gioco di questi criminali (perché Google per il page ranking guarda quanti link trova alle pagine).
Altrettanto vergognoso è che non ci sia uno sforzo internazionale delle forze dell'ordine per far smettere ed arrestare questi pagliacci, che è anni che vanno avanti (il network di Coolwebsearch infetta ormai centinaia di migliaia, e probabilmente anche milioni di persone ogni anno).
E poi anche Microsoft ha la sua colpa, diciamolo chiaramente. Ha fatto uno dei software meno sicuri della storia (Internet Explorer) ed una delle tecnologie più stupide e rischiose (ActiveX); anni fa era impensabile venire infettati semplicemente navigando sul web, oggi grazie a Microsoft tutto questo è possibile.
Fai bene a usare Linux. Io spesso uso Windows, ma solo perché ho necessità lavorative (dovendo spesso lavorare su codice che gira su server Windows), ma prima usavo soltanto UNIX, e francamente non mi dispiacerebbe tornare solo a UNIX.
TNT | 20.08.06 00:21
20.08.06 00:21
Lavorano molto anche a mano, penso, perché quando ho cambiato il link ai commenti hanno aggiornato il bot in tempo di un giorno. Posterò qui nei commenti i domini nuovi che trovo nei commenti spam intercettati di quei criminali , nel futuro, per chi magari vuole aggiungergli al file hosts.
Qui una guida, per chi non conosce quella difesa. Questo file si può aprire con qualsiasi editor di testo e inserire nuovi domini da bloccare.
ste | 20.08.06 08:42
20.08.06 08:42
Il file hosts non va bene, perché non accetta wildcards: inserendo ad esempio:
127.0.0.1 pippo.com
Bloccherebbe sì pippo.com, ma non i sottodomini; ad esempio pluto.pippo.com non verrebbe bloccato. E' proprio per quello che creano tutti quei sottodomini.
Consiglio di bloccare l'intero range di netcathost, 195.225.176.0 - 195.225.179.255 (195.255.176.0/22) perché su quegli IP si trovano SOLO trojan e malware.
TNT | 20.08.06 15:54
20.08.06 15:54
Qualcuno mi spiega che succede?
Non so niente e non ho capito niente.
Sarà perché sono su un Mac?
:D
Cornelia | 20.08.06 16:36
20.08.06 16:36
Accidenti, non lo sapevo, che non blocca tutto; grazie nel nome degli user windows.
@Cornelia: Anche a me non fanno mica nulla, su Linux, ma a vederli che cercano di infestare mezzo Itali mi fa una rabbia, e sono più di 80% che usano windows (Mac 5%, Linux 10% ).
Poi ti farei vedere i programmi di Linux, che cestineresti subito tutti le tue icose ;-)
ste | 20.08.06 21:48
20.08.06 21:48