14 replies to this topic

[Kuma]

E' possibile bloccare gli indirizzi conosciuti come dannosi o a cui non volete che qualcuno acceda modificando questo file. (HOSTS)

Il file di cui sto parlando, sitrova in queste posizioni:


Windows XP = C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2K = C:\WINNT\SYSTEM32\DRIVERS\ETC
Win 98/ME = C:\WINDOWS

ed è un file SENZA ESTENSIONE
ed è possibile editarlo manualmente usando il blocco note, anche se per semplicità vi consiglio di usare questo programmino: ---> HOSTER

--------

Copiate, una alla volta le voci qui sotto, inseritele nello spazio apposito e quindi cliccate
su "Aggiungi all'Hosts"



Le voci da aggiungere sono le seguenti:

Citazione

127.0.0.1 aagxgbdlztw.com
127.0.0.1 cvoesdjd.com
127.0.0.1 e-46.com
127.0.0.1 fgvmwyfstd8.com
127.0.0.1 ghr5rudiys.com
127.0.0.1 gromozon.com
127.0.0.1 guerdonde.com
127.0.0.1 hk1eyenfzjd7.com
127.0.0.1 idkqzshcjxr.com
127.0.0.1 js.gbeb.cc
127.0.0.1 js.pceb.cc
127.0.0.1 lah3bum9.com
127.0.0.1 mioctad.com
127.0.0.1 mufxggfi.com
127.0.0.1 ou2dkuz71t.com
127.0.0.1 ozkkmkdk.com
127.0.0.1 rac5kymzk6u.com
127.0.0.1 rolahujkzq.com
127.0.0.1 td8eau9td.com
127.0.0.1 uv97vqm3.com
127.0.0.1 wlos.net
127.0.0.1 xearl.com
127.0.0.1 xoboe.com

Per questo trucco si ringrazia Marco Giuliani -- collaboratore PrevX ---

[Falco180]

ma questa procedura serve ad impedire che il pc si possa infettare di linkoptmizer oppure serve a che già ha è infetto?

[Kuma]

La prima che hai detto..

e non so neppure quanto possa durare, visto il continuo aggiornarsi di questo malware (e quindi penso anche dei rispettivi server, che all'inizio erano solo tre <_< ) comunque almeno da qui lo blocca.... (quelli conosciuti)

[GmG]

Citazione

127.0.0.1 ycvcp1ege8.com
127.0.0.1 rrsmcoooz.com
127.0.0.1 cfvfrfjwarc.com
127.0.0.1 yqrugkkjqgh.com

Altri server da aggiungere

[GmG]

Citazione

127.0.0.1 nzrxadrux.com

Nuovo server appena scoperto

[GmG]

Citazione

127.0.0.1 izohxdu7lah.com

Nuovo server

[GmG]

Citazione

127.0.0.1 yypp6pwk.com

Nuovo server

[Steve75]

Ciao ragazzi ,
io non credo che sia tanto necessario aggiungere questi IP al file hosts , anche perchè sono tutti chiusi questi domini quando viene sparsa la notizia di un nuovo server ....
io questi aggiunti in questo topic li ho provati tutti, e danno tutti lo stesso messaggio
.....

[GmG]

fabrizio, su 11/11/06, 15:09, ha detto:

Ciao ragazzi ,
io non credo che sia tanto necessario aggiungere questi IP al file hosts , anche perchè sono tutti chiusi questi domini quando viene sparsa la notizia di un nuovo server ....
io questi aggiunti in questo topic li ho provati tutti, e danno tutti lo stesso messaggio
.....

Sono dei messaggi falsi, i siti sono attivi, il virus si trova in una "sotto-dominio", dalla pagina iniziale non ci si infetta, ma fa credere che il sito sia stato chiuso.

[Steve75]

GmG, su 11/11/06, 15:12, ha detto:

Sono dei messaggi falsi, i siti sono attivi, il virus si trova in una "sotto-dominio", dalla pagina iniziale non ci si infetta, ma fa credere che il sito sia stato chiuso.

i siti sono chiusi e quando li si visita , non viene scaricato assolutamente niente .....
anche se è vero che usano il trucco del sottodominio , o forse lo facevano piu prima ...
sarebbe comunque un'altro url e un'altro IP a poterci infettare , visti che ne hanno tanti ..
quindi non bloccabili dalla modifica del file HOSTS ...



PS__premetto che le mie sono solo delle considerazioni personali , quindi non voglio contraddire nessuno e nè tanto meno
voglio sconsigliare la modifica del file HOSTS

[GmG]

fabrizio, su 11/11/06, 16:53, ha detto:

i siti sono chiusi e quando li si visita , non viene scaricato assolutamente niente .....
anche se è vero che usano il trucco del sottodominio , o forse lo facevano piu prima ...
sarebbe comunque un'altro url e un'altro IP a poterci infettare , visti che ne hanno tanti ..
quindi non bloccabili dalla modifica del file HOSTS ...

Ho sbagliato usando il termine "sotto-dominio".
Usano il collegamento ad una pagina che non è l'inidce del sito.

e.s.
Digitando il sito SitoInventato.com si ha la pagina con scritta "Sito chiuso"
La pagina che carica il malware invece è SitoInventato.com/Pagina-Con-Virus.php

Visitando la pagina iniziale non c'è nessun link alla pagina SitoInventato.com/Pagina-Con-Virus.php quindi sempra un sito realmente chiuso, ma facendo una qualsiasi ricerca con google si trovano migliaia di siti che puntano direttamente alla pagina SitoInventato.com/Pagina-Con-Virus.php

[Steve75]

anche se il termine sottodominio era sbagliato , comunque ci eravamo capiti .....
quello che volevo dire io , è che questa tecnica veniva usata molto all'inizio della piaga gromozon , ma adesso se ci fai caso ,anche ricercando i nuovi domini su Google o su altri motori , risultano addirittura sconosciuti , o al massimo portano a forum che hanno già trattato la cosa .....
Prima invece i vecchi url ,come giustamente dicevi , portavano a migliaia di pagine collegate a quell'index che risultava "Site is closed"
Sono troppo tagliati per adottare sempre le stesse tecniche , per di piu tecniche già smacherate come questa ...

[GmG]

fabrizio, su 11/11/06, 17:49, ha detto:

anche se il termine sottodominio era sbagliato , comunque ci eravamo capiti .....
quello che volevo dire io , è che questa tecnica veniva usata molto all'inizio della piaga gromozon , ma adesso se ci fai caso ,anche ricercando i nuovi domini su Google o su altri motori , risultano addirittura sconosciuti , o al massimo portano a forum che hanno già trattato la cosa .....
Prima invece i vecchi url ,come giustamente dicevi , portavano a migliaia di pagine collegate a quell'index che risultava "Site is closed"
Sono troppo tagliati per adottare sempre le stesse tecniche , per di piu tecniche già smacherate come questa ...

Perchè ora il link alla pagina col virus è inserito in uno script offuscato.

[Steve75]

GmG, su 11/11/06, 18:01, ha detto:

Perchè ora il link alla pagina col virus è inserito in uno script offuscato.

Lo script col malware è inserito in centinaia e centinaia di siti, di cui non si conosce assolutamente niente ..... e quindi assolutamente imprevedibile per certi versi , almeno per l'utente medio....

[Steve75]

Per chi usa la tecnica di editare il file HOSTS , ecco dei nuovi IP riconducibili ai rootkit Gromozon e DialCall

85.255.112.0 - 85.255.127.255
81.29.240.0 - 81.29.242.63