Il Virus : Indagine di un malware moderno
Prima parte sull'analisi del comportamento di uno script del web. Prossimamente un articolo sul reverse engineering (ebbene sì, mi sembra un articolo carino da trattare, almeno per le basi :)).
20-06-2008
Visita il nuovo blog!
Pubblicità
Tutti i vecchi post:
- Un trucchetto da far girare la testa
- XSS su yahoo
- Pampers.it - OWN
- Xss su hattrick - OWN
- XSS Varie
- Sickgirl - OWN
- XSS su forumup
- Mitica shell c2007
- XSS su liberidalporno.org - OWN
- XSS su dndonline.it
- Rivista gratuita di giochi
- XSS su splinder.com
- XSS su backlinkcheck.de
- XSS su supereva
- XSS su New York Times
- XSS on altervista
- XSS on 135.it - OWN
- XSS su msn.com
- Sogna ragazzo Sogna
- Exploiting Forumfree
- VMWare VMBuilder
- XSS su mastercard.com
- XSS su xlovecam.com
- XSS su visa.com
- Invisibili su TeamSpeak
- Altro XSS su altervista
- Sicurezza sul sito spritz.it
- XSS on turboweb.it - OWN
- Ricordi..
- Spiare i cellulari altrui.
- XSS su dei.unipd.it - OWN
- XSS su altervista
- Lucchettiamo.it - qualcosa non va.
- XSS su blogitalia.it - OWN
- Red Bull Gravity Challenge
- Google Map Street View
- Un antivirus da taschino e uno da boot
- Too sexy - World of Warcraft
- Xss su ebay
- Come vincere quasi sempre le aste su ebay.
- Lucchettiamo.it - 2, quello originale
- iRiver S10, un ottimo player mp3
- Altro periodo nero
- Piccola guida alla sicurezza.
- Cercasi collaboratori per nuovo sito di Dungeon and Dragon online.
- XSS - Sicurezza sul sito capponcino.it - OWN - FIXED
- Hyperwords, un modo nuovo di esplorare la rete (per firefox)
- Google vs Microsoft (e Bush sta con Redmond)
- Periodo di pausa - qualche sfondo per l'attesa.. :-D
- News veloci
- Analisi di un Virus
- Rapidshare prima parte.
- Live linux-gamers ==> una distribuzione live DVD con i giochi free più belli
- iPhone, un sogno (quasi) alla portata di tutti
- Clear Type Tuner - Miglioriamo la visualizzazione dei caratteri sul monitor
- Nessuna moderazione: il Vaffanculo Day - Beppe Grillo
- Come diventare un Hacker - Eric S. Raymond
- Safari 3 Beta per Windows e il primo bug
- Aderisco al progetto reCAPTCHA
- Transformers - Autorobot
- Martina@fastweb.it
- La Cina censura il rapporto sui morti per inquinamento
- What I've Done
- Account messenger con l'email che vuoi
- Pagine impossibili da vedere per colpa della pubblicità
- Mad World - Gears of War - Tears for Fears - Gary Jules
- ASUS EEE-PC
- Vulnerabilità sul sito Dragons' Lair
- Sistema operativo nel Web - eyeOS
- Hacking di un contatore Enel
- Yann Tiersen - Le Demarche
- Windows Live Writer - pubblica senza browser
- Programmi di gestione password.
- Fatal1ty
- Il =V= day si avvicina..
- Robot per wii? Ergo WII BOT
- Hosting gratuito e conveniente - Joolo.com
- BeamFile - invio allegati di grosse dimensioni
- Integrale della primitiva
- Cambiamo il nostro MAC address - Mac Spoof Spoofing
- Nuova e splendida amicizia
- Buddy Holly - Everyday
- XSS in php-stats - OWN
- FTV file type verificator - Che tipo di file è
- Patterngame e altri giochi flash
- Ancora in Vacanza - San Leo
- Scaricare e convertire un video di YouTube - Vixy.net
- Dettagli del sistema (hardware e software) - SIW
- Tornato!
- Programmi per pubblicare sul blog senza browser
- Cambio tema..
- Quanto è interessante il nostro IP?
- Evviva! Mi hanno accreditato il bug di php-stats
- Cat Stevens - Father and Son
- Riviste informatiche ed errori ortografici - Hacker Journal
- Animation VS. Animator
- Preghiera Nerd
- Sei un Nerd?
- WorldClock
- Cubo di Rubik
- Mulo in pericolo
- Si ripaaaarte!!
- Usare Gratuitamente il proprio cellulare come webcam via Bluetooth - Wwigo
- Buco Nero
- We Are All Connected
- 6V Mega Batterie - 32 AA
- Una tastiera per gamers a basso costo
- Problemi con WwiGo e Messenger
- Cercare file musicali (o di altro genere) nelle directory FTP di Google
- Super Mario Galaxy
- Sicurezza in Flash
- Download veloce con IRC
- Bonetti - Mike Post
- Giuseppe Fava
- 0,9 periodico è uguale a 1
- Nuovo (Vecchio) bug in mylinks di Xoops
- Alberto Biscontin - Gianluca Lentinu
- Google supera i 5 GB con Gmail
- Tutti i comandi DOS
- Fight For Kisses
- XSS in club.giovani giovani.it OWN
- Sicurezza in PHP
- link.autistici.org XSS OWN
- Virus Bagle
- Wonderful Life
- Splinder.com : piccola sfida
- Time - Pink Floyd
- Hacking
- Shape of My Heart - Sting
- SMS Gratis Vodafone
- Flash tip: Cercare pagine indicizzate in periodi arbitrari da Google
- Parcheggio italiano
- uXpose.com : your world Online
- Vulnerabilità su Moodle
- Mp3 Free Cerca e Scarica : illegale o no.. Seeqpod!
- Calendario 2008 tascabile
- Copiare File Velocemente su Windows
- Giusto per stare in allegria
- Potenza di Aruba - SQL Injection nel supporto tecnico
- XSS su ebay (2)
- Aiutiamo la ricerca - World Community Grid
- Sicurezza in Windows XP
- Invio di Infiniti MMS Gratis ai numeri Vodafone da riga di comando
- Update Scanner - Firefox
- Installato Ubuntu!
- Sicurezza su Wordpress
- Scopriamo nuovi siti basati sui nostri interessi
- Grazie Stella
- Collabora con gli altri in tempo reale - Thinkature
- Exploit Forumfree
- XSS su tomshw.it - OWN
- Apriamo Firefox più velocemente - Firefox Preloader
- Controllo di file e processi sospetti
- XSS in 60+ minuti
- XSS iobloggo.com - OWN
- Ritardo marchiato Trenitalia
- Flash della Fonera - up to r5
- XSS su easyfreeforum.com
- Emailing intelligente
- Periodo triste
- Email to MMS gratis - fuori dalla Beta
- MsnCleaner - Rimuovere i Virus da Messenger
- Siti poco affidabili - protezione tramite SiteAdvisor
- Musica, orchestra e spot enigmatici
- Immagini delle Mappe Google ad Alta Risoluzione
- Fonera fuori dalla scatola - Ripristino firmware originale
- Tabella dei contenuti (TOC) per Wordpress
- OpenDNS ormai senza scuse
- XSS su birramoretticalcio.it - OWN
- AutoIT, divertimento e semplicità
- Fonera Sbrandizzata
- Sito dell'Expo 2015 con SQL Injection
- Un OCR gratuito
- Siti normali con virus incluso
- Elezioni Politiche 2008
- Criptiamo i dati trasmessi in rete - Email sicure
- WPA e WEP fuori combattimento - anche con la Fonera
- XSS su Kongregate - OWN
- Proteggiamo il nostro lavoro PHP
- Iron Man
- Fonera a 5.99€, spese di spedizione escluse
- RegMon e FileMon - vecchi ma buoni
- PicLens - coverflow di youtube, flickr..ecc.
- eMule Multiutente Multilivello
- Scherzo telefonico
- Edizione 2008 desktopography - raccolta sfondi
- Il Virus : Indagine di un malware moderno
- Monitoriamo i cambiamenti delle pagine web
- Stop alla pubblicità sul web
- Habari – Alternativa a Wordpress
- Porte casuali : Sicurezza
- Dns Poisoning
- La propria galleria foto sul web
- Lettura per l'estate - Segfault.it
- Interazione PHP con Vyke.com - e altri servizi
- Trucchi, cheats e Reverse Engineering
- Forumfree.net - Supporto Adsense e altri script
- Chrome di Google : browser tutto d'un pezzo
- Esportazione certificati da Firefox - Errore
- Captcha for Spammers
- Gioco Freeware - Polarity
- Blackr su Chrome
- Connettersi ovunque
- Face Extractor: scarica gli album dei tuoi amici da Facebook automaticamente!
- Habari 0.5.2 XSS - OWN
- Easy, Excellent, Exciting
- tempfile.tmp Accesso negato in TortoiseSVN
- Sblocco protezione dei pdf online
- Habari - Servage PHP Version Error
- Calendario tascabile 2009
- I have been HACKED
- EEE-PC 901 Webcam Scura
- Cybercriminali - Articolo
- Font nuovi nelle nostre pagine web - Typeface.js e simili
- Up or down?
- TIM (a mezzanotte) - Vodafone volume - Jacksms
- Mail2World
- Un tuffo nel DMR e nei licensing method per Java
- Invia SMS/MMS dal tuo sito
- Dreamhost per 2 anni a soli 15€, ma solo per oggi!
- Recupero Form Lazarus
- SVG power
- Download dei Film da Megavideo.com
- Unetbootin operating system not found / installed error / missing
- Esodo EEEPC - ripristino di windows xp dal recovery cd
- Analisi Conficker
- Scuse ufficiali
- IRC Download - Scarica velocemente, gratuitamente e con qualità
- World Pollution
- Parsing ns1 Netstumbler files through PHP
- MLDonkey for a new p2p experience
- Uomini che odiano le donne
- CSS intelligenti
- Magliette per tutti
- Google Trends, dinamiche della rete
- Post Exploitation in PHP
31-12-1969 alle 18:33
Ho rimosso dal mio blog il codice di clubstat.com ed è sparita la richiesta di installazione di un certificato java come nel tuo post. Ho seguito fino ad un certo punto il tuo articolo ed ho trovato riscontro di quanto dicevi. Inoltre dopo aver tolto il contatore incriminato non è più comparsa la richiesta di installazione del certificato java (a me viene anche su Firfox forse perché ora la versione è la tre. Ora ho visitato diversi siti che hanno il counter di clubstat e non vedo problemi apparenti (in effetti a me il problema veniva fuori solo nel momento in cui visualizzavo il sito tramite l'anteprima di blogger (quindi immagino per una questione di cookies). In oltre mi domando come mai questi siti continuano a rimanere aperti se diffondono malware?
31-12-1969 alle 18:33
@Angelo In effetti spesso il codice maligno viene visualizzato o meno a seconda dei cookie presenti, oppure in base al numero di visite quotidiane (oltre che a seconda del browser, ecc.). Mi dispiace che tu abbia avuto questo problema. Clubstat.com viene segnalato come sito dannoso dal sistema WOT (https://addons.mozilla.org/it/firefox/addon/3456). Il motivo per cui questo sito può rimanere aperto è essenzialmente l'accettazione di questa dichiarazione: http://rafb.net/p/eqnarx19.html che trovi alla registrazione del servizio: http://clubstat.com/commons/subscribe.php In particolare questi punti: - gli utenti inseriscono il codice javascript fornito a proprio rischio e pericolo e sollevano clubstat.com da qualsiasi responsabilità derivante dall'uso e relative conseguenze dello stesso . - Inserendo il codice javascript di clubstat.com nel Vs sito autorizzate clubstat.com a mandare qualsiasi tipo di codice informatico quali html,javascript,jscript,c#,activex,java tramite il codice inserito per controllare gli accessi del Vs sito e per qualsiasi altro fine ivi compreso l'apertura saltuaria di finestre secondarie contenenti codice informatico di tipo html,javascript,jscript,c#,activex,java ecc.. . Si autorizza clubstat.com a rilevare ed operare azioni informatiche di qualsiasi genere tramite il codice javascript che inserite nelle vs pagine web a spostare su altro sito , anche di terze parti , le azioni informatiche derivate dallo script javascript senza doverne dare comunicazione. Come vedi ogni responsabilità per danni provocati viene fatta ricadere su di te. Ti consiglio di fare una scansione del pc con software come SuperAntiSpyware (edizione freeware). Ho effettuato la registrazione ed in effetti lo script si comporta in maniera molto simile a quello descritto nell'articolo. Spero di esserti stato utile. Ciao
31-12-1969 alle 18:33
Ciao! Grazie per la tua pronta e completa risposta. A livello personale non ho avuto nessun problema, visto che il meccanismo di infezione non è molto complicato e nessuno si è lamentato dopo aver visitato il mio blog. Tra l'altro usavo da tempo il counter di clubstat senza javascript sulla piattaforma di Libero per cui non mi ero mai posto il problema. Non sono nemmeno un avvocato ma una liberatoria tipo quella di Clubstat credo possa essere nulla a livello legale. Finché si limita ad aprire pop up, usare cookies traccianti etc, ma un dialer ad esempio non credo sia ammissibile. Io non posso scrivere una clausola che mi autorizzi a distribuire software illegale! Ma mi rendo conto che la cosa non è così semplice. Grazie di nuovo!