Nieuws
image

Honderden Blogger.com blogs besmet met Trojaans paard

vrijdag 16 maart 2007, 09:40 door Redactie, 1 reacties

Honderden weblogs op de populaire blogsite Blogger.com zijn besmet met een Trojaans paard die bezoekers probeert te infecteren, zo waarschuwen onderzoekers van Fortinet. Ook worden besmette blogs gebruikt om mensen naar phishing sites te sturen, en om de cirkel rond te maken blijkt de Stration "spam worm" via geinfecteerde machines massaal spam te versturen om mensen naar de gevaarlijke Blogger.com blogs te lokken.

Een concreet voorbeeld is een "etalage" van Pharmacy Express, waarnaar wordt doorgelinkt vanuit een Blogger.com blog. De Pharmacy Express site is duidelijk een phishing site, die is opgezet om persoonlijke gegevens en financiele informatie van de bezoekers te pakken te krijgen. De blog wordt agressief onder de aandacht gebracht door het verspreiden van haar URL via mass mailers zoals Stration.

Een ander voorbeeld is een blog van een Honda CR450 fan, die bezoekers met de Wonka Trojan besmet. Analyse wijst uit dat de Trojan naar een Russische web tracking website leidt. Hoewel er geen spam werd ingezet om verkeer naar deze blog sturen, kwamen mensen er wel op terecht door zoekacties met blog search engines. Ook onderwerpen zoals Star Wars, scholen, woninginrichting, Kerstmis, auto’s en dating leiden naar de kwaadaardige blogs.

Reacties (1)
16-03-2007, 17:03 door G-Force
Het domein van de geïnfecteerde site Honda CR450 is:

[color=red]honda-cr450.blogspot (punt) com[/color] (link onwerkzaam gemaakt)

IP-adres: [color=red]72.14.207.191[/color] (voor blokkade Firewall)

Farmacy Exrpess staat al jaren bekend als oplichtersite, waarbij er via duizenden internetadressen geprobeerd wordt om gegevens van internetgebruikers af te troggelen. Via de zoekmachine Google kwam ik op de volgende site (cache) terecht waar een jaar geleden de duistere zaakjes van Farmacy Express al uit de doeken werd gedaan. Dit gedeelte staat vol met internetadressen en DNS-servers waar Farmacy Express gebruik van heeft gemaakt. Bijna alle links op deze site worden door [url=http://www.security.nl/article/15550/1/Browser_en_e-mail_plugin_waarschuwt_voor_gevaarlijke_links.html]CallingID[/url] als INVALID beschouwd.

Meer info website Fight Back (Spammers and Scammers)
http://209.85.165.104/search?q=cache:cWtCREp8GMAJ:web.tebweb.com:8080/cgi-bin/spm_forum/Blah.pl%3Fb%3Dspam_latest_offenders,m%3D1148313953+Pharmacy+Express&hl=en&ct=clnk&cd=3&gl=us


DNS-servers die door Farmacy Express werden gebruikt waren:

DNS servers:
NS0.MAOMAREGI.COM 218.62.89.29
NS0.MANOTHAVE.COM 222.208.183.164
NS0.ANOTHEGISA.COM 202.103.178.125
NS0.SIGUMEBERSI.COM 219.153.19.40
NS0.TORESINATO.COM 202.103.178.125
NS0.RAPIEXANSI.COM 222.60.14.242
NS0.LASROMTEA.COM 202.103.178.125
NS0.POLTRAINI.COM 202.103.178.125
NS0.RESTANRELTI.COM 222.52.1.11
NS0.SETORELLE.COM
NS0.WINGELA.COM
NS0.TIMOPOTED.COM
NS1.FREESERVERS.COM
NS2.FREESERVERS.COM
NS4.TRISLUCAT.COM
NS2.TONOBEARO.COM
NS0.ANLINHOLI.COM
NS0.HETRIEDIS.COM
DNS2.ASETANTIC.COM
DNS1.ASETANTIC.COM
DNS1.EIGHOURI.COM
NS0.FESTIVAINURO.COM
NS0.AIRALLON.COM
NS0.TREATENSON.COM
NS0.ATTEPONTAI.COM
NS0.THAPICURESE.COM
NS0.TIVICENE.COM
NS1.AREVERE.COM
NS2.AREVERE.COM
NS3.AREVERE.COM
NS6.AREVERE.COM
NS0.ALROMALVI.COM
NS0.TANISIGER.COM
NS0.TONCEREAN.COM
NS0.NEVEPOSTE.COM
ns0.chapithiso.com
NS0.COURTANPA.COM
NS1.PUREDNS.COM
NS2.PUREDNS.COM
NS0.AIRAMISU.COM
NS0.EBANTENE.COM
NS0.HOWODEAL.COM
NS0.ROSETTARKIN.COM
DNS7.VISIONNEW.COM
DNS5.VISIONNEW.COM
NS0.GISATOCAT.COM
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure