Search di Msn.com = Virus a manetta

[dimitri76]

Attivate il Vs. antivirus e fatevi un giretto su questo URL di MSN: http://auto.search.msn.com/response.asp ... prov=&utf8

Micorsoft n.1!!! (in senso ironico ovviamente)

JS_Seeker.H1 è il virus che tenteranno di inocularvi.
Niente di pericoloso, ma questo mi fa molto pensare...

Saluti.
Dimitri.

[zello]

Io vengo reindirizzato al sito di pc-facile.com, nessun tentativo di intrusione.

M$ ha numerossisime colpe. Temo che però rischieresti di più su qualche sito w4r3z.

[dimitri76]

Guarda bene l'indirizzo...:
http://66.40.21.66/search/frame.asp?MT= ... facile.com

Strano...

[dado]

La prima pagina che hai scritto, dimitri, non mi dà problemi. Mi rimanda a pc-facile.
La seconda mi dice che non esiste....
Ma nessun virus...

[zello]

Però è strano. La seconda pagina _NON_ e' microsoft. Direi:

Codice: Seleziona tutto

Maxim MAXIM-4 (NET-66-40-0-0-1)
                                  66.40.0.0 - 66.40.255.255
Finetime Communications MAX-CUSTNET-1048 (NET-66-40-21-64-1)
                                  66.40.21.64 - 66.40.21.79


 3    130.152.180.21   6.404 ms   isi-1-lngw2-atm.ln.net [AS226] Los Nettos origin AS
 4    198.32.146.21    11.807 ms  mae-la.above.net [AS226] Los Nettos origin AS
 5    208.185.156.10   11.570 ms  pos3-3.mpr2.lax2.us.mfnx.net [AS6461] Primary AS for Abovenet
 6    208.185.156.125  11.542 ms  pos2-0.mpr1.sjc2.us.mfnx.net [AS6461] Primary AS for Abovenet
 7    208.184.102.202  12.104 ms  so-1-1-0.mpr4.sjc2.us.mfnx.net [AS6461] Primary AS for Abovenet
 8    208.185.175.162  11.592 ms  pos6-0.mpr2.pao1.us.mfnx.net [AS6461] Primary AS for Abovenet
 9    64.124.50.164    29.662 ms  giga-abovenet.hostcentric.com (DNS error) [AS6461] Primary AS for Abovenet
10    66.40.24.109     14.491 ms  GE6-0.FMT-2.hostcentric.com (DNS error) [AS11388] Maxim Computer Systems Corporation
11    66.40.24.106     20.951 ms  VLAN3.FMT6509-1.hostcentric.com (DNS error) [AS11388] Maxim Computer Systems Corporation
12    209.25.128.69    19.373 ms  officer204.fmt.hostcentric.com [AS11388] Maxim Computer Systems Corporation
13    66.40.21.66      15.105 ms  host66.hostcentric.com (DNS error) [AS11388] Maxim Computer Systems Corporation

CustName:   Finetime Communications
Address:    980 N. Federal Hwy Ste 303 Boca Raton, FL 35432
Country:    US


Io questi *non so chi siano*. Non sono in blacklist per spam. Non è che hai un qualche spyware installato, o un trojan?

Ciao,

--
zello

[Triumph Of Steel]

La prima pagina non mi dice nulla.. la seconda:
KasperSky si inkakkia:

Exploit.Applet.ActiveXComponent

nella pagina:
Script_0079bba3.html

altra cosa interessante di quella pagina:

<script language=JScript.encode src=at.gif></script>

mai visto... .GIF, nel sito non si cono immagini!

e poi sono tutti FRAME, richiami da altre parti.. insomma.. fa un giro assurdo!!

[zello]

Seguito (con il browser di samspade) un po' di link, e trovato un sito porno/casino on line su 216.65.101.134, facente capo (in arin) agli stessi clienti. Niente blacklists comunque.

<script language=JScript.encode src=at.gif></script>

E' il virus stesso - McAfee me lo ha subito rinominato. Se vuoi lo decritto. Ma la microsoft, naturalmente, non c'entra per niente

Ho cercato un po' su Groups.google.com, e trovato pochino. Qualcuno ci è stato, e si è trovato pieno di adware. Nei fatti, l'exploit che cercano di installare è questo

Exploit.Applet.ActiveXComponent

--------------------------------------------------------------------------------
A security vulnerability in some versions of MS Internet Explorer and Outlook (com.ms.activeX.ActiveXComponent security vulnerability).
The security flaw gives remote scripts and HTML pages access to any ActiveX control, which is installed on a victim's computer. The remote script can gain full contol of victim's computer, including the ability to read and write files on hard disks.

Trojan programs like JS.Trojan.Seeker and JS.Trojan.Fav use this vulnerability to modify browser's start and search pages and unauthorized add links to "Favorites" folder of Internet Explorer.

Microsoft released a patch that removes the com.ms.activeX.ActiveXComponent security vulnerability. We recommend to visit

Da http://www.avp.ch/avpve/malware/exploit.stm

Non mi sembrano cattivissimi. Non sono molto onesti, ma chi è che vende porno e/o casino on line ed è totalmente onesto?

Ciao,

--
zello