Stampa Articolo

Aperiodico gratuito di informatica

 

È sicuro questo sito?

a cura di crazy.cat

24/07/2012 - articolo

Internet - Basta un clic in una pagina apparentemente sicura e ci si potrebbe trovare con il PC infetto da qualche strano malware. Vediamo come scoprire, in anticipo, se un sito è pericoloso o meno.

La facilità, in particolare in certe nazioni compiacenti, nell'aprire un sito Web nuovo, ha reso disponibile un numero altissimo di indirizzi pericolosi, usati per distribuire malware di vario genere, se a questi aggiungiamo tutti quei siti poco curati e abbandonati, sfruttati nello stesso modo, ci possiamo rendere conto che finire nel "lato oscuro" di Internet potrebbe essere semplicissimo.

Ho voluto raccogliere, per analizzarne il comportamento, alcune risorse Web che ci dicono se un sito è pericoloso oppure no.

I 20 link scelti per il test risalgono al 12-13 Luglio, sono pagine contenenti malware di vario genere, exploit, phishing e siti distributori di spam, in data 14 Luglio sono ancora tutti attivi, al momento della pubblicazione dell'articolo, o di quando lo leggerete, potrebbero non esserlo più. Anche i siti, al momento non analizzati, potrebbero essere stati inseriti negli archivi e quindi i risultati finali essere diversi da quelli che ho ottenuto io.

Gli indirizzi scelti sono quelli indicati qui sotto, con indicato il tipo di malware, sono da considerare attivi e pericolosi, quindi non apriteli a casaccio senza prendere le dovute precauzioni.

Trojan downloader for Zeus: 66.175.216.128/a.php?f=f3cd3&e=2 Backdoor Quakbot: img3.logixhost.com/w.php?f=97d19&e=2 Blackhole exploit kit: tubez22.cu.cc/main.php?page=eb6e11c9ad50a981 HTML/IFrame.DO.624: Msrgejsdyvekadh.com/njob.php?num=16325021930218916864&rev=369&os=5121 Blackhole exploit kit: visitorcounterstat.com/main.php?page=bbe12cfa7e4c0ac5 Blackhole exploit kit: avanayl.tk/main.php?page=7d788a5fd986c7fa Blackhole exploit kit: lonely.ezua.com/main.php?page=588ec4e4ea3b00d8 Blackhole exploit kit: bmichen.info/index.php?tp=2dff5619df5568f8 Trojan: up2x.com/u/1254875307.svcess32.exe Blackhole exploit kit: xtremegold.info/refer.php?id=4500761eb9197234 TR/Spy.ZBot.ETG: tsionakat.gr/components/com_banners/facebookchat.exe HTML/Framer.OC: eksyghskgsbakrys.com/njob.php?num=12746345477640358912&rev=369&os=5121&ncrp=1 TR/Winwebsec.A.547: wolfmaterialhandling.com/3.exe APPL/Solimba.Gen: d3uetqjthbb4x1.cloudfront.net/2.1.587/2269730/Salasdejuegobr/deElVicio.exe W32/Sality: d1.endata.cx/data/games/27819/6.exe Exploit: 91.218.37.246/w.php?f=47bca TR/Crypt.XPACK.Gen: files-heaven.net/65rhQ.exe TR/Spy.Banker.LW.116: oriconsult.com.ve/www.imperiocobrancas.com.br/boleto062012.exe Redirect a sito di Phishing: springbokjersey.com/italia/index2.php Sito Spammer: fhhcu.power-4menultimate.ru

Avevo trovato alcuni altri link che svolgevano un servizio di analisi di indirizzi web, però con risultati più difficili da comprendere, imprecisi o con tempi di risposta molto lunghi. Ho quindi scelto di presentarvi quelli più rapidi nel rispondere e comprensibili.

AVG Threat Labs

Home page

• Sicuri: 10 - 66.175.216.128, msrgejsdyvekadh.com, visitorcounterstat.com, tsionakat.gr, eksyghskgsbakrys.com, d1.endata.cx, 91.218.37.246, springbokjersey.com, file-heaven.net, fhhcu.power-4menultimate.ru
• Prestare attenzione: 4 - img3.logixhost.com, tubez22.cu.cc, lonely.ezua.com, d3uetqjthbb4x1.cloudfront.net
• Infetti: 6 - avanayl.tk, bmichen.info, up2x.com, xtremegold.info, wolfmaterialhandling.com, oriconsult.com.ve

Il sito principale, cu.cc, viene considerato non pericoloso, i sotto domini, come tubez22.cu.cc, lo sono, infatti indicano 402 pagine compromesse e 21 malware trovati, anche se non spiegano di che genere siano.

Anche in caso di siti infetti non è che forniscano tantissimi dettagli.

Poco chiaro e non proprio preciso nei risultati, è più una pagina pubblicitaria che invita a scaricare e provare AVG Internet Security.

F-Secure

Home Page

• Sicuri: 5 - springbokjersey.com, d1.endata.cx, file-heaven.net, d3uetqjthbb4x1.cloudfront.net, up2x.com
• Non analizzato: 1 - wolfmaterialhandling.com
• Infetti: 14 - 66.175.216.128, tsionakat.gr, 91.218.37.246, oriconsult.com.ve, msrgejsdyvekadh.com, tubez22.cu.cc, visitorcounterstat.com, eksyghskgsbakrys.com, fhhcu.power-4menultimate.ru, img3.logixhost.com, lonely.ezua.com, avanayl.tk, bmichen.info, xtremegold.info

F-Secure è estremamente sintetico nel giudizio, e neanche troppo preciso nei risultati, senza però fornire nessun dettaglio sui problemi trovati.

Google

Per avere i risultati dell'analisi di Google, bisogna inserire nel browser questa stringa Http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site= seguita dall'indirizzo, senza http o www, del sito da analizzare.

• Buoni o non visitati: tubez22.cu.cc, img3.logixhost.com, msrgejsdyvekadh.com, visitorcounterstat.com, avanayl.tk, lonely.ezua.com, bmichen.info, eksyghskgsbakrys.com, wolfmaterialhandling.com, 91.218.37.246, springbokjersey.com, file-heaven.net, fhhcu.power-4menultimate.ru
• Infetto: 66.175.216.128, up2x.com, xtremegold.info, tsionakat.gr, d3uetqjthbb4x1.cloudfront.net, d1.endata.cx, oriconsult.com.ve

Risultati deludenti e parecchio confusi anche nelle spiegazioni.

McAfee Siteadvisor

Home page

• Sicuri: 4 - lonely.ezua.com - d3uetqjthbb4x1.cloudfront.net - d1.endata.cx - oriconsult.com.ve
• Non analizzati: 12 - 66.175.216.128 - img3.logixhost.com - tubez22.cu.cc - visitorcounterstat.com - avanayl.tk/ - bmichen.info - xtremegold.info - tsionakat.gr - wolfmaterialhandling.com - springbokjersey.com - file-heaven.net - fhhcu.power-4menultimate.ru
• Infetti: 4 - msrgejsdyvekadh.com - eksyghskgsbakrys.com - up2x.com - 91.218.37.246

Si analizza il sito principale cloudfront.net, ma se vi è un sottodominio d3uetqjthbb4x1.cloudfront.net pieno di virus non importa, il sito risulta verde e buono.

Ci sono dei problemi, ma non si sa quali siano.

Altro sito con sotto dominio infetto, il massimo che si ottiene è che risulta affiliato con un sito segnalato come distributore di virus.

Da uno dei primi software ad occuparsi di segnalare la sicurezza di un sito, mi sarei aspettato molto di più.

Norton

Home page

• Sicuro: 1 - lonely.ezua.com
• Non analizzati: 14 - springbokjersey.com, file-heaven.net, wolfmaterialhandling.com, 66.175.216.128, tubez22.cu.cc, 91.218.37.246, tsionakat.gr, oriconsult.com.ve, visitorcounterstat.com, fhhcu.power-4menultimate.ru, img3.logixhost.com, avanayl.tk, bmichen.info, xtremegold.info
• Prestare attenzione: 2 - msrgejsdyvekadh.com, eksyghskgsbakrys.com
• Infetti: 3 - d1.endata.cx, d3uetqjthbb4x1.cloudfront.net, up2x.com

Curiosa la definizione dei siti su cui prestare attenzione, sono stati trovati pochi malware e quindi non sono siti troppo pericolosi.

Anche Norton Safe Web analizza, e giudica buoni, solo i siti principali e non i sotto domini.

Qualche dato in più si ottiene nei siti infetti anche con il tipo di minacce trovate.

Risultati piuttosto scarsi, dopo alcuni giorni ho ripetuto il test per i siti non analizzati e non era ancora cambiato niente.

Stopbadware

Home page

• Buoni o non analizzati: 6 - 66.175.216.128, tsionakat.gr, 91.218.37.246, springbokjersey.com, wolfmaterialhandling.com, oriconsult.com.ve
• Infetti: 14 - msrgejsdyvekadh.com, visitorcounterstat.com, eksyghskgsbakrys.com, d1.endata.cx, file-heaven.net, fhhcu.power-4menultimate.ru, img3.logixhost.com, tubez22.cu.cc, lonely.ezua.com, avanayl.tk, d3uetqjthbb4x1.cloudfront.net, bmichen.info, up2x.com, xtremegold.info

Alla prima ricerca bisogna inserire l'indirizzo, senza http://www, poi il captcha e premete Search Clearinghhouse

Dopo qualche secondo, la ricerca non sembra velocissima, compariranno degli indirizzi, con la pallina gialla è sintomo di qualche problema, con quella bianca il sito non dovrebbe presentare rischi.

Cliccandoci sopra potrete leggere in dettaglio i vari problemi trovati in quel sito.

Trend Micro

Home page

• Non testato: springbokjersey.com, file-heaven.net,
• Infetto: 66.175.216.128, img3.logixhost.com, fhhcu.power-4menultimate.ru, d3uetqjthbb4x1.cloudfront.net - d1.endata.cx - oriconsult.com.ve, tsionakat.gr, xtremegold.info, bmichen.info, avanayl.tk, visitorcounterstat.com, tubez22.cu.cc, img3.logixhost.com, msrgejsdyvekadh.com - Lonely.ezua.com, wolfmaterialhandling.com, eksyghskgsbakrys.com - up2x.com - 91.218.37.246

Non esagerate con i controlli perché ad un certo punto vi chiederanno di inserire un captcha per verificare che siate umani.

Riconoscimento decisamente elevato, siti infetti 18 su 20 qualche spiegazione sul sito di minaccia presente.

Si possono, naturalmente, analizzare anche i siti buoni e sicuri.

Wot

Home page

• Non analizzati: 2 - springbokjersey.com, file-heaven.net
• Infetti: 18 - d1.endata.cx, d3uetqjthbb4x1.cloudfront.net, up2x.com, wolfmaterialhandling.com, 66.175.216.128, tsionakat.gr, 91.218.37.246, oriconsult.com.ve, msrgejsdyvekadh.com, tubez22.cu.cc, visitorcounterstat.com, Eksyghskgsbakrys.com, fhhcu.power-4menultimate.ru, img3.logixhost.com, lonely.ezua.com, avanayl.tk, bmichen.info, xtremegold.info

Wot, che vi avevamo presentato in quest'articolo, è una piccola estensione/programma disponibile per tutti i principali browser, si appoggia ad una grossa comunity di segnalatori di siti pericolosi.

A volte alcuni giudizi lasciano perplessi, o sono dei "falsi positivi", però è uno dei pochi programmi che installo di default su quasi tutti i computer con cui ho a che fare.

La possibilità di bloccare, in anticipo, un sito pericoloso è molto importante, preferisco avere qualche falsa rilevazione e decidere io di proseguire la navigazione, se sono sicuro che il sito sia buono, piuttosto che cadere direttamente in un sito infetto.

Per ogni sito è presente una valutazione con colore diverso, a seconda del grado di pericolosità, la locazione del server, i commenti degli utenti della comunity e l'indicazione dei problemi trovati.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati