Raccolta segnalazioni "Polizia Postale".

[frakka]

Ho pensato che potrebbe essere utile, soprattutto ai meno esperti, una raccolta di screenshot e magari di istruzioni per la rimozione di questi virus, ultimamente così di moda... Mi riferisco a quei malware che bloccano il pc dell'utente, con varie modalità, spacciandosi per attività giudiziaria.

La pagina utilizzata spesso cambia, così come le modalità di funzionamento... Corredare il post con lo screenshot del messaggio potrebbe aiutare a tranquillizzare gli utenti infettati da questi malware almeno a non farsi prendere dal panico...

[frakka]

Inizio con questo.

La macchina da cui ho preso lo screenshot è il portatile di mio zio. La stessa pagina saltuariamente viene fuori anche sullo smartphone della figlia, che non ha alcuna connessione con questo portatile (nessuna sincronizzazione) ad eccezione della rete wifi che utilizzano. L'unico browser installato su quel computer è IE.
La pagina viene fuori apparentemente in modo casuale: Sono stato là due volte e la prima non sono riuscito ad ottenere l'attivazione del reindirizzamento, la seconda invece sì. Sembra che il virus si attivi prevalentemente visitando alcune pagine (nel caso specifico, quella del Telepass...).
Altri computer e terminali di casa non sembrano risentire del problema.

Ho eseguito tutte le scansioni tradizionali sul computer, con diversi antimalware e removal tool (ad esempio, stinger di McAfee) senza rilevare nulla. La pagina fà riferimento anche alla presenza di un cryptovirus, che asserisce di aver cifrato tutti i files presenti nel computer ma sembra essere un fake dato che tutti i files di produttività (documenti ed immagini) sul pc sembrano ancora correttamente funzionanti.
Ho riavviato il pc con una live di ubuntu e cercato a mano la presenza di eventuali eseguibili presenti nei soliti percorsi (C:\Users\nome_utente\AppData, nelle temp e nelle cache del browser, etc...) senza individuare alcun files anomalo.

Ero di fretta e non ho potuto approfondire oltre. Poco prima di scappare via, però, ho dato un'occhiata al router (marca e modello per ora ignoti, credo sia quello fornito dall'ISP) e mi sono accorto che il DNS primario impostato nella configurazione del router non è un IP che mi sarei aspettato di trovare (Google, OpenDNS o quelli di Libero, che è il provider). L'IP in questione è 94.249.192.104, che mi risulta appartenere ad un ISP tedesco (GHOSTnet GmbH). Ho modificato la configurazione del router per utilizzare il dns di opendns e chiesto di riavviare router e pc.

La presenza del DNS modificato sul router, l'assenza di qualunque tipo rilevamento da parte dei vari tool antivirus, l'assenza di files sospetti nelle posizioni solite, il fatto che il problema interessi due dispositivi senza alcune connessione tra loro ad eccezione della rete wireless e il fatto che la stessa pagina richiami due famosi "ceppi" di virus (il malware GdF e un cryptovirus) senza però che alcun files risulti cifrato, mi fà pensare ad un fake: Sono convinto che sui pc non ci sia alcun virus, credo però che l'indirizzo Ip presente nel router appartenga ad un DNS malevolo che reindirizza le connessioni verso una pagina "civetta", che non fà effettivamente nulla se non spaventare l'utente.
Da quando ho reimpostato il DNS sul router (ieri) il problema non sembra presentarsi più. Resta da capire come sia possibile che il DNS sul router sia stato modificato ed eventualmente mi devo far dare marca e modello del dispositivo per verificare se ci sono disponibili aggiornamenti per vulnerabilità note.

EDIT:
Ho provato ad aprire l'url incriminato sul mio computer (Linux) e si è aperta una pagina simile. Il contatore però funziona (sul pc dello zio, con IE, rimaneva fisso a 48 ore).

La grafica è leggermente diversa, ma il sunto è lo stesso.

L'host verso cui viene fatto il redirect è stato registrato da GoDaddy ad Agosto. Non vi è alcuna vera pagina, la homepage dell'host indicato nell'url effettua un redirect (302) verso la homepage di msn mentre l'url completo rimanda ad un file (general-damage.stm) contenuto all'interno di 5-6 livelli di sottodirectory con nome apparentemente casuale. Il server che ospita questo virus sembra trovarsi in missouri.
Effettuata una segnalazione seguendo la pagina "segnala un abuso" di GoDaddy.


[EDIT del 13/10/2014:]
Il problema si è ripresentato: il DNS configurato nel router è nuovamente quello tedesco citato prima ma ora la pagina malevola è ospitata su un diverso url sempre registrato tramite GoDaddy.
Il router è un Kraun.

Nuova versione:

[brugola.x]

ottima idea frakka

[frakka]

Grazie.

Spero di possa raccogliere un archivio sufficientemente vasto di informazioni da essere utile sia agli utenti che a chi si trova nella condizione di doverli assistere. Spero inoltre che chi ha le conoscenze per farlo effettui le verifiche necessarie per poter fare una segnalazione a chi di dovere.
La segnalazione che ho inoltrato questa sera è stata ricevuta, vediamo se GoDaddy è sufficientemente serio da prenderla in considerazione.

[thepolo]

Segnalo anche io di essermi ritrovato con i DNS cambiati all'interno del router. Fortunatamente nod32 blocca il traffico verso questo indirizzo ip 94.249.192.104. Ho cambiato la password al router e adesso sembra che i DNS tengano, ma vorrei capire se c'è qualche software malevolo installato sul pc che possa cambiarli di nuovo.

[frakka]

Grazie del riscontro.
Sto ancora cercando di capire se il cambio dei DNS è arrivato da fuori (una vulnerabilità del firmware del router) oppure da dentro alla rete (anche qui un bug del firmware oppure un malware che sfrutta magari la password memorizzata nel browser). Però un attacco al al router dovrebbe essere estremamente mirato, ogni modello ha propri menù e la configurazione non si fà sempre nello stesso punto... Purtroppo non posso andare spesso a verificare la situazione e devo basarmi sui riscontri che mi danno via telefono.
Ho resettato il browser alle impostazioni di fabbrica ed effettuato svariate scansioni senza mai rilevare nulla. Mi verrebbe da pensare che il pc sia "pulito"... Dovrei provare a usare per un po' quel pc da una live di Linux ma potrebbe volerci un sacco di tempo perchè il messaggio non compare sempre. Questa mattina mi hanno segnalato che l'url è cambiato e ora punta ad un host registrato sempre tramite GoDaddy. Ho aperto una seconda segnalazione ma finora nessun riscontro.

Non sò se provare a fare una segnalazione anche al gestore dell'IP del DNS...

Nel tuo caso, che marca e modello di router hai?



[EDIT:]
Cercando qualche info tramite colui che tutto sà, senza la minima difficoltà sono emerse moltissime segnalazioni relative a dei bachi di sicurezza presenti in moltissimi router di vari brand, principalmente modelli "da supermercato" o destinati alla grande diffusione, per permettono la modifica della configurazione dei DNS dalla rete pubblica. Le segnalazioni riguardano D-Link, Sitecom, TP-Link, Kraun... Andiamo bene!!!!

Santo il mio router/gateway/serverino auto-costruito!!!

[Totocellux]

si, svariati router presentano bug, falle e a volte anche exploits che permettono sia l'authentication bypass
che il cosiddetto Cross-Site Request Forgery (CSRF).

Ai nomi di produttori che hai fatto, Matteo, purtroppo se ne aggiungono diversi altri: alcuni commercializzano
loro prodotti anche in Europa (in ordine rigorosamente alfabetico: Asus, Linksys, Micronet, Netgear), altri per
lo più nel continente asiatico (Tenda).

Ovviamente, tengo a ribadire, non tutti i firmware e i modelli di questi produttori presentano vulnerabilità
gravi di questo tipo. Se si vuole andare sul sicuro, credo che bisognerebbe mantenersi un attimino aggiornati
su quanto accade leggendo le news in ambito sicurezza sui siti specializzati.

I consigli che mi sento di dare sono due: verificare se esistono update al firmware presso il sito del produttore
mantenendolo per quanto possibile aggiornato e quello di usare dal vostro router, se disponibile, l'opzione che
invia e-mail di log sia in modalità programmata giornaliera che all'insorgere di ogni modifica alla configurazione.

Per quanto riguarda le segnalazioni alla Polizia Postale e delle Comunicazioni, spesso non trovano il dovuto
riscontro perché le organizzazioni criminali che vi stanno dietro fanno uso, purtroppo, dele più disparate modalità
per rimanere impuniti: basi e server in paesi che negano la fornitura di log o addirittura dove le leggi in vigore
non consentono o non hanno trattati in materia col nostro (Canada, Israele e molti paesi dell'est), e quant'altro.

Soprattutto fanno uso di attività ed operazioni altamente dinamiche nel tempo, cambiando base operativa (virtuale)
a ripetizione. Laddove si riesce ad avere dei log, dei tabulati in cui vi siano conferme e dettagli, le risposte arrivano
ampiamente in ritardo, con i criminali che hanno letteralmente preso il volo o cambiato modalità operative, non più
assimilabili nella vecchia indagine.

Insomma è una Cambogia! Ci si trova a rendersi conto di disperdere risorse, energie e denaro tra mille rivoli non
meglio contenibili o addirittura individuabili; per questi reati, diciamo di secondo e terzo piano, è dura dirla così,
ma spesso per tutta questa serie di circostanze negative, non si riesce a cavare un ragno dal buco.

[thepolo]

Il mio router è un Atlantis Land WebShare 141 WN. Dovrebbe essere un'azienda affidabile.

[frakka]

OK. Non è questione di azienda affidabile o meno... Come diceva Toto, nell'elenco ci sono alcuni dei maggiori produttori mondiali.
Gli errori capitano, il problema è se c'è o meno la volontà di risolverli...

[frakka]

[...] Per quanto riguarda le segnalazioni alla Polizia Postale e delle Comunicazioni, spesso non trovano il dovuto riscontro perché le organizzazioni criminali che vi stanno dietro fanno uso, purtroppo, dele più disparate modalità per rimanere impuniti: basi e server in paesi che negano la fornitura di log o addirittura dove le leggi in vigore non consentono o non hanno trattati in materia col nostro (Canada, Israele e molti paesi dell'est), e quant'altro. [...]

Io per ora mi sono limitato a fare le segnalazioni al registrar del dominio utilizzato per ospitare la pagina e al gestore dell'IP che ospita il DNS presunto malevolo. Non ho avuto riscontro in nessuno dei due casi ma gli url che si aprivano sul computer di mio zio risultano ora non più funzionanti mentre il DNS sembra ancora operativo.
In passato avevo fatto segnalazioni analoghe a register.it che, per quanto non abbia dato risposta alla mail, ha comunque provveduto a oscurare il sito chiaramente di phishing in pochissimo tempo.


[EDIT del 16/10/2014:]
Stasera è arrivata la risposta di GoDaddy ad entrambe le segnalazioni:

Dear Sir/Madam,

Thank you for bringing this to our attention. At this time we have determined the reported website is hosted elsewhere. If you would like to take further action regarding the content on this website, we recommend you contact the hosting provider directly.

Please contact us if you have any further issues.

Regards,