Raccolta segnalazioni "Polizia Postale".

Pagina 1 di 2 1 2 ultimo
Visualizzazione dei risultati da 1 a 10 su 11
  1. #1
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    39
    Messaggi
    22,132
    configurazione

    Predefinito Raccolta segnalazioni "Polizia Postale".

    Ho pensato che potrebbe essere utile, soprattutto ai meno esperti, una raccolta di screenshot e magari di istruzioni per la rimozione di questi virus, ultimamente così di moda... Mi riferisco a quei malware che bloccano il pc dell'utente, con varie modalità, spacciandosi per attività giudiziaria.

    La pagina utilizzata spesso cambia, così come le modalità di funzionamento... Corredare il post con lo screenshot del messaggio potrebbe aiutare a tranquillizzare gli utenti infettati da questi malware almeno a non farsi prendere dal panico...
    brugola.x likes this.


    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  2. #2
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    39
    Messaggi
    22,132
    configurazione

    Predefinito

    Inizio con questo.

    La macchina da cui ho preso lo screenshot è il portatile di mio zio. La stessa pagina saltuariamente viene fuori anche sullo smartphone della figlia, che non ha alcuna connessione con questo portatile (nessuna sincronizzazione) ad eccezione della rete wifi che utilizzano. L'unico browser installato su quel computer è IE.
    La pagina viene fuori apparentemente in modo casuale: Sono stato là due volte e la prima non sono riuscito ad ottenere l'attivazione del reindirizzamento, la seconda invece sì. Sembra che il virus si attivi prevalentemente visitando alcune pagine (nel caso specifico, quella del Telepass...).
    Altri computer e terminali di casa non sembrano risentire del problema.

    Ho eseguito tutte le scansioni tradizionali sul computer, con diversi antimalware e removal tool (ad esempio, stinger di McAfee) senza rilevare nulla. La pagina fà riferimento anche alla presenza di un cryptovirus, che asserisce di aver cifrato tutti i files presenti nel computer ma sembra essere un fake dato che tutti i files di produttività (documenti ed immagini) sul pc sembrano ancora correttamente funzionanti.
    Ho riavviato il pc con una live di ubuntu e cercato a mano la presenza di eventuali eseguibili presenti nei soliti percorsi (C:\Users\nome_utente\AppData, nelle temp e nelle cache del browser, etc...) senza individuare alcun files anomalo.


    Ero di fretta e non ho potuto approfondire oltre. Poco prima di scappare via, però, ho dato un'occhiata al router (marca e modello per ora ignoti, credo sia quello fornito dall'ISP) e mi sono accorto che il DNS primario impostato nella configurazione del router non è un IP che mi sarei aspettato di trovare (Google, OpenDNS o quelli di Libero, che è il provider). L'IP in questione è 94.249.192.104, che mi risulta appartenere ad un ISP tedesco (GHOSTnet GmbH). Ho modificato la configurazione del router per utilizzare il dns di opendns e chiesto di riavviare router e pc.

    La presenza del DNS modificato sul router, l'assenza di qualunque tipo rilevamento da parte dei vari tool antivirus, l'assenza di files sospetti nelle posizioni solite, il fatto che il problema interessi due dispositivi senza alcune connessione tra loro ad eccezione della rete wireless e il fatto che la stessa pagina richiami due famosi "ceppi" di virus (il malware GdF e un cryptovirus) senza però che alcun files risulti cifrato, mi fà pensare ad un fake: Sono convinto che sui pc non ci sia alcun virus, credo però che l'indirizzo Ip presente nel router appartenga ad un DNS malevolo che reindirizza le connessioni verso una pagina "civetta", che non fà effettivamente nulla se non spaventare l'utente.
    Da quando ho reimpostato il DNS sul router (ieri) il problema non sembra presentarsi più. Resta da capire come sia possibile che il DNS sul router sia stato modificato ed eventualmente mi devo far dare marca e modello del dispositivo per verificare se ci sono disponibili aggiornamenti per vulnerabilità note.

    EDIT:
    Ho provato ad aprire l'url incriminato sul mio computer (Linux) e si è aperta una pagina simile. Il contatore però funziona (sul pc dello zio, con IE, rimaneva fisso a 48 ore).


    La grafica è leggermente diversa, ma il sunto è lo stesso.

    L'host verso cui viene fatto il redirect è stato registrato da GoDaddy ad Agosto. Non vi è alcuna vera pagina, la homepage dell'host indicato nell'url effettua un redirect (302) verso la homepage di msn mentre l'url completo rimanda ad un file (general-damage.stm) contenuto all'interno di 5-6 livelli di sottodirectory con nome apparentemente casuale. Il server che ospita questo virus sembra trovarsi in missouri.
    Effettuata una segnalazione seguendo la pagina "segnala un abuso" di GoDaddy.


    [EDIT del 13/10/2014:]
    Il problema si è ripresentato: il DNS configurato nel router è nuovamente quello tedesco citato prima ma ora la pagina malevola è ospitata su un diverso url sempre registrato tramite GoDaddy.
    Il router è un Kraun.

    Nuova versione:
    Ultima modifica di frakka : 14-10-2014 a 00:50


    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  3. #3
    Nihil est magnum somnianti L'avatar di brugola.x
    Registrato
    Feb 2007
    Località
    1/2 lombardo
    Età
    46
    Messaggi
    18,590
    configurazione

    Predefinito

    ottima idea frakka

  4. #4
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    39
    Messaggi
    22,132
    configurazione

    Predefinito

    Grazie.

    Spero di possa raccogliere un archivio sufficientemente vasto di informazioni da essere utile sia agli utenti che a chi si trova nella condizione di doverli assistere. Spero inoltre che chi ha le conoscenze per farlo effettui le verifiche necessarie per poter fare una segnalazione a chi di dovere.
    La segnalazione che ho inoltrato questa sera è stata ricevuta, vediamo se GoDaddy è sufficientemente serio da prenderla in considerazione.


    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  5. #5
    bit
    Registrato
    Oct 2014
    Messaggi
    2

    Predefinito

    Segnalo anche io di essermi ritrovato con i DNS cambiati all'interno del router. Fortunatamente nod32 blocca il traffico verso questo indirizzo ip 94.249.192.104. Ho cambiato la password al router e adesso sembra che i DNS tengano, ma vorrei capire se c'è qualche software malevolo installato sul pc che possa cambiarli di nuovo.

  6. #6
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    39
    Messaggi
    22,132
    configurazione

    Predefinito

    Grazie del riscontro.
    Sto ancora cercando di capire se il cambio dei DNS è arrivato da fuori (una vulnerabilità del firmware del router) oppure da dentro alla rete (anche qui un bug del firmware oppure un malware che sfrutta magari la password memorizzata nel browser). Però un attacco al al router dovrebbe essere estremamente mirato, ogni modello ha propri menù e la configurazione non si fà sempre nello stesso punto... Purtroppo non posso andare spesso a verificare la situazione e devo basarmi sui riscontri che mi danno via telefono.
    Ho resettato il browser alle impostazioni di fabbrica ed effettuato svariate scansioni senza mai rilevare nulla. Mi verrebbe da pensare che il pc sia "pulito"... Dovrei provare a usare per un po' quel pc da una live di Linux ma potrebbe volerci un sacco di tempo perchè il messaggio non compare sempre. Questa mattina mi hanno segnalato che l'url è cambiato e ora punta ad un host registrato sempre tramite GoDaddy. Ho aperto una seconda segnalazione ma finora nessun riscontro.

    Non sò se provare a fare una segnalazione anche al gestore dell'IP del DNS...

    Nel tuo caso, che marca e modello di router hai?



    [EDIT:]
    Cercando qualche info tramite colui che tutto sà, senza la minima difficoltà sono emerse moltissime segnalazioni relative a dei bachi di sicurezza presenti in moltissimi router di vari brand, principalmente modelli "da supermercato" o destinati alla grande diffusione, per permettono la modifica della configurazione dei DNS dalla rete pubblica. Le segnalazioni riguardano D-Link, Sitecom, TP-Link, Kraun... Andiamo bene!!!!

    Santo il mio router/gateway/serverino auto-costruito!!!
    Ultima modifica di frakka : 14-10-2014 a 01:45


    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  7. #7
    ●⁞◌ Ȏrȉzzȏntέ Ðέglȋ ȨvέntȊ ◌⁞●
    Registrato
    Aug 2008
    Località
    Palermo
    Messaggi
    2,952

    Predefinito

    si, svariati router presentano bug, falle e a volte anche exploits che permettono sia l'authentication bypass
    che il cosiddetto Cross-Site Request Forgery (CSRF).

    Ai nomi di produttori che hai fatto, Matteo, purtroppo se ne aggiungono diversi altri: alcuni commercializzano
    loro prodotti anche in Europa (in ordine rigorosamente alfabetico: Asus, Linksys, Micronet, Netgear), altri per
    lo più nel continente asiatico (Tenda).

    Ovviamente, tengo a ribadire, non tutti i firmware e i modelli di questi produttori presentano vulnerabilità
    gravi di questo tipo. Se si vuole andare sul sicuro, credo che bisognerebbe mantenersi un attimino aggiornati
    su quanto accade leggendo le news in ambito sicurezza sui siti specializzati.

    I consigli che mi sento di dare sono due: verificare se esistono update al firmware presso il sito del produttore
    mantenendolo per quanto possibile aggiornato e quello di usare dal vostro router, se disponibile, l'opzione che
    invia e-mail di log sia in modalità programmata giornaliera che all'insorgere di ogni modifica alla configurazione.

    Per quanto riguarda le segnalazioni alla Polizia Postale e delle Comunicazioni, spesso non trovano il dovuto
    riscontro perché le organizzazioni criminali che vi stanno dietro fanno uso, purtroppo, dele più disparate modalità
    per rimanere impuniti: basi e server in paesi che negano la fornitura di log o addirittura dove le leggi in vigore
    non consentono o non hanno trattati in materia col nostro (Canada, Israele e molti paesi dell'est), e quant'altro.

    Soprattutto fanno uso di attività ed operazioni altamente dinamiche nel tempo, cambiando base operativa (virtuale)
    a ripetizione. Laddove si riesce ad avere dei log, dei tabulati in cui vi siano conferme e dettagli, le risposte arrivano
    ampiamente in ritardo, con i criminali che hanno letteralmente preso il volo o cambiato modalità operative, non più
    assimilabili nella vecchia indagine.

    Insomma è una Cambogia! Ci si trova a rendersi conto di disperdere risorse, energie e denaro tra mille rivoli non
    meglio contenibili o addirittura individuabili; per questi reati, diciamo di secondo e terzo piano, è dura dirla così,
    ma spesso per tutta questa serie di circostanze negative, non si riesce a cavare un ragno dal buco.

  8. #8
    bit
    Registrato
    Oct 2014
    Messaggi
    2

    Predefinito

    Il mio router è un Atlantis Land WebShare 141 WN. Dovrebbe essere un'azienda affidabile.

  9. #9
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    39
    Messaggi
    22,132
    configurazione

    Predefinito

    OK. Non è questione di azienda affidabile o meno... Come diceva Toto, nell'elenco ci sono alcuni dei maggiori produttori mondiali.
    Gli errori capitano, il problema è se c'è o meno la volontà di risolverli...


    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  10. #10
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    39
    Messaggi
    22,132
    configurazione

    Predefinito

    Originariamente inviato da Totocellux
    [...] Per quanto riguarda le segnalazioni alla Polizia Postale e delle Comunicazioni, spesso non trovano il dovuto riscontro perché le organizzazioni criminali che vi stanno dietro fanno uso, purtroppo, dele più disparate modalità per rimanere impuniti: basi e server in paesi che negano la fornitura di log o addirittura dove le leggi in vigore non consentono o non hanno trattati in materia col nostro (Canada, Israele e molti paesi dell'est), e quant'altro. [...]
    Io per ora mi sono limitato a fare le segnalazioni al registrar del dominio utilizzato per ospitare la pagina e al gestore dell'IP che ospita il DNS presunto malevolo. Non ho avuto riscontro in nessuno dei due casi ma gli url che si aprivano sul computer di mio zio risultano ora non più funzionanti mentre il DNS sembra ancora operativo.
    In passato avevo fatto segnalazioni analoghe a register.it che, per quanto non abbia dato risposta alla mail, ha comunque provveduto a oscurare il sito chiaramente di phishing in pochissimo tempo.


    [EDIT del 16/10/2014:]
    Stasera è arrivata la risposta di GoDaddy ad entrambe le segnalazioni:

    Dear Sir/Madam,

    Thank you for bringing this to our attention. At this time we have determined the reported website is hosted elsewhere. If you would like to take further action regarding the content on this website, we recommend you contact the hosting provider directly.

    Please contact us if you have any further issues.

    Regards,
    Ultima modifica di frakka : 16-10-2014 a 00:25


    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

Pagina 1 di 2 1 2 ultimo

Informazioni Thread

Users Browsing this Thread

Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)

Regole d'invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
nexthardware.com - © 2002-2018

Search Engine Optimization by vBSEO 3.6.1