Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Il sito Eazel è sospetto
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 31 Ott 2007 22:55    Oggetto: Il sito Eazel è sospetto Rispondi citando
Ciao a tutti, Ciao

Attenti al sito italian.eazel.com, McAfee Site Advisor lo rileva come sospetto (e distributore di Virus, Spyware e Adware).
Consiglio, vivamente, di stargli lontano.

edit:
Di seguito, trovate il testo che viene visualizzato ogni volta che si procede a un download dal sito in questione:
Citazione:
Scaricando questo prodotto, dichiari di accettare Termini e condizioni di servizio di questo sito web e la sua Politica in materia di privacy. Il download viene effettuato tramite un downloader di proprietà di questo sito web. Il downloader non è in alcun caso associato all'autore di Windows Live Messenger 8.1.0178 e funzione in veste di entità indipendente che certifica l?affidabilità dello stesso. Il dowanloader è parte integrante dei sistemi di sicurezza utilizzati da questo sito web per garantire la massima affidabilità e sicurezza dei propri download. Principale obiettivo di questo sito web è quello di consentirti di filtrare virus e malware presenti nei milioni di dowanload attualmente pubblicati in Internet.


Il testo che ho evidenziato in grassetto, mi lascia mooooolto perplesso. Think

Ho tentato di effettuare un download qualsiasi e il mio Panda Antivirus si è comportato di conseguenza... Shocked
Citazione:
File sospetto Protezione contro minacce ... 10/31/07 22:12:00 File: http://dow... File: http://download.eazel.com/down/out/installer-12118-34-Windows-Live-Messenger-8-1-0178-Italian.exe
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 31 Ott 2007 23:50    Oggetto: Rispondi citando
Aggiornamento:

sono riuscito a scaricare il downloader e a caricarlo su VirusTotal. Di seguito i risultati:
Citazione:
File installer-12118-34-Windows-Live-M ricevuto il 2007.10.31 22:36:02 (CET)
Risultato: 6/32 (18.75%)

eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm
Ikarus T3.1.1.12 2007.10.31 Trojan.Win32.StartPage.aop
Panda 9.0.0.4 2007.10.31 Suspicious file
Prevx1 V2 2007.10.31 Heuristic: Suspicious File With Outbound Communications
Sophos 4.23.0 2007.10.31 IRCFast Downloader
Symantec 10 2007.10.31 Ircfast

Informazioni addizionali
File size: 706008 bytes
MD5: 9595167364be55409f1c57090fa4755b
SHA1: 2366ff41d35c00c31465489984b8c0d377108d93
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=D5CAB850D837431EC54F0A339A308A0040FA5873
Top
Profilo Invia messaggio privato
ste_95
Dio maturo
Dio maturo


Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
MessaggioInviato: 01 Nov 2007 08:04    Oggetto: Rispondi citando
lo mando a suspectfile così aggiorniamo anche gli altri AV...in particolare kaspersky...
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 01 Nov 2007 10:36    Oggetto: Rispondi citando
Di seguito le informazioni che ho recuperato finora sul sito in questione.

Prima trasformazione: italian.eazel.com diventa ircfast.com
Citazione:
Registry Whois
Domain Name: ircfast.com

Status: clientDeleteProhibited, clientRenewProhibited, clientTransferProhibited, clientUpdateProhibited

Registrar: GODADDY.COM, INC.
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com

Expiration Date: 2008-03-11
Creation Date: 2002-03-11
Last Update Date: 2007-03-11

Name Servers:
ns1.mydyndns.org
ns2.mydyndns.org
ns3.mydyndns.org
ns4.mydyndns.org
ns5.mydyndns.org

IP Address: 209.85.60.76
Website Status: active
Server Type: Apache
Alexa Trend/Rank: 1 Month: 1,858 3 Month: 1,220
Page Views per Visit: 1 Month: 1.4 3 Month: 1.4
Cache Date: 2007-11-01 07:59:57 MST
Compare Archived Data: 2007-05-11


Le informazioni prelevate dal sito di GODADDY.COM:
Citazione:
The data contained in GoDaddy.com, Inc.'s WHOIS database,
while believed by the company to be reliable, is provided "as is"
with no guarantee or warranties regarding its accuracy. This
information is provided for the sole purpose of assisting you
in obtaining information about domain name registration records.
Any use of this data for any other purpose is expressly forbidden without the prior written
permission of GoDaddy.com, Inc. By submitting an inquiry,
you agree to these terms of usage and limitations of warranty. In particular,
you agree not to use this data to allow, enable, or otherwise make possible,
dissemination or collection of this data, in part or in its entirety, for any
purpose, such as the transmission of unsolicited advertising and
solicitations of any kind, including SPAM. You further agree
not to use this data to enable high volume, automated or robotic electronic
processes designed to collect or compile this data for any purpose,
including mining this data for your own personal or commercial purposes.

Please note: the registrant of the domain name is specified
in the "registrant" field. In most cases, GoDaddy.com, Inc.
is not the registrant of domain names listed in this database.


Registrant:
Domains by Proxy, Inc.

DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: IRCFAST.COM
Created on: 11-Mar-02
Expires on: 11-Mar-08
Last Updated on:

Administrative Contact:
Private, Registration IRCFAST.COM@domainsbyproxy.com
Domains by Proxy, Inc.
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599

Technical Contact:
Private, Registration IRCFAST.COM@domainsbyproxy.com
Domains by Proxy, Inc.
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599

Domain servers in listed order:
NS1.MYDYNDNS.ORG
NS2.MYDYNDNS.ORG
NS3.MYDYNDNS.ORG
NS4.MYDYNDNS.ORG
NS5.MYDYNDNS.ORG


Registry Status: clientRenewProhibited
Registry Status: clientTransferProhibited
Registry Status: clientUpdateProhibited
Registry Status: clientDeleteProhibited


Ricapitolando, il sito è stato registrato da GoDaddy.com (Arizona, USA) per conto di domainsbyproxy.com. Che si occupa di rendere impossibile risalire alla vera identità del proprietario del sito.
A meno che:
Citazione:
Prohibitions: Domains By Proxy® is not intended to be used to protect your identity if you:
? Transmit SPAM, viruses or harmful computer programs;
? Violate the law or infringe a third party?s trademark or copyright;
? Engage in morally objectionable activities, including but not limited to those which are child pornographic, defamatory, abusive, harassing, obscene, racist, or otherwise objectionable.


Nei termini d'uso di ircfast.com si legge:
Citazione:
<p>Questo Sito &eacute; disciplinato dalle leggi spagnole ed &eacute; protetto dalla legislazione in vigore in riferimento alla propriet&aacute; intellettuale e industriale.</p>


Sempre più sospetto. Think

Prossimo passo, analizzare il comportamento del downloader scaricato... Twisted Evil
Top
Profilo Invia messaggio privato
ste_95
Dio maturo
Dio maturo


Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
MessaggioInviato: 01 Nov 2007 10:43    Oggetto: Rispondi citando
si è vero....l'ho messo su suspectfile e vediamo che dicono...

lo proverò anche io... Twisted Evil
Top
Profilo Invia messaggio privato HomePage
ste_95
Dio maturo
Dio maturo


Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
MessaggioInviato: 01 Nov 2007 22:46    Oggetto: Rispondi citando
ecco cosa mi hanno risposto..deludente:

ciao grazie per aver inviato il file.Purtroppo non è stato correttamente inviato o è troppo grande.quanto è grande il file? ciaolufo88team suspectfile

ci riprovo?
Top
Profilo Invia messaggio privato HomePage
ste_95
Dio maturo
Dio maturo


Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
MessaggioInviato: 10 Nov 2007 19:37    Oggetto: Rispondi citando
ecco il coportamento del file:

Si limita ad aggiungere dei collegamenti nei preferiti e sul desktop. Inoltre cambia la home page di Internet exlorer, con un'altra che offre vari download. Pochi sono pericolosi, la mossa è solo pubblicitaria.

http://www.suspectfile.com/forum/viewtopic.php?t=1786&sid=f0edbccfd102e270b50bfcf975ec40a2
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 10 Nov 2007 19:58    Oggetto: Rispondi
Quindi, mi fanno scaricare un downloader che mi installa dei collegamenti sul desktop e poi parte a scaricare il programma che io ho richiesto.
Classifichiamolo come Adware, per il momento. Rolling Eyes
Nulla vieta ai signori di eazel.com di cambiare la struttura del loro downloader per fare ben altro. Evil or Very Mad

PS: Rimango sempre molto sospettoso quando mi fanno scaricare programmi che non mi servono e cercano di nascondere le informazioni sul reale proprietario di un sito. Twisted Evil Wink
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi