Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 31 de mayo de 2009

Compendio mensual de información. Mayo 2009

Pistus Malware Intelligence Blog
29.05.09 Una recorrida por los últimos scareware VIII
27.05.09 Unique Sploits Pack. Manipulando la seguridad del atacante II
23.05.09 PHP Shell Attack II - Dive Shell
21.05.09 YES Exploit System. Manipulando la seguridad del atacante
18.05.09 Defacing como noticia
18.05.09 Masiva propagación de malware a través de falsos sitios de entretenimiento

16.05.09 Scareware. Estrategia de engaño propuesta por Personal Antivirus
15.05.09 Una recorrida por los últimos scareware VII
13.05.09 PHP Shell Attack I - SimShell
10.05.09 Campaña de Ingeniería Social visual orientada a plataformas MacOS
09.05.09 Estrategia BlackHat SEO propuesta por Waledac
06.05.09 Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II
04.05.09 ZeuS Carding World Template. Jugando a cambiar la cara de la botnet
03.05.09 Una recorrida por los últimos scareware VI
02.05.09 Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección
01.05.09 Campaña de propagación del scareware MalwareRemovalBot


EvilFingers Blog

28.05.09 Unique Sploits Pack. Manipulating the safety of the attacker II
24.05.09 YES Exploit System. Manipulating the safety of the attacker
20.05.09 Massive spread of malware through fake sites entertainment

14.05.09 BlackHat SEO strategy proposed by Waledac
10.05.09 Adrenalin botnet. The trend marks the Russian crimeware
08.05.09 IS visual and the use of pornography as a vehicle of propagation and infection II
07.05.09 Zeus Carding World Template. Change the playing side of the botnet
05.05.09 IS visual and the use of pornography as a vehicle of propagation and infection
03.05.09 Campaign scareware propagation MalwareRemovalBot



ESET Latinoamérica Blog
31.05.09 Reporte de amenazas de mayo
28.05.09 Malware en plataformas no Windows
26.05.09 Botnets. Una breve mirada al interior de ZeuS (II)
22.05.09 Estrategias BlackHat SEO y la propagación de malware
21.05.09 AdPack. Otra botnet al servicio del malware
19.05.09 Troyanos con sabor a Rogue
18.05.09 Procesos legítimos y nativos del sistema operativo II
14.05.09 Falso YouTube propaga falso Flash Player
07.05.09 Procesos legítimos y nativos del sistema operativo I


Información relacionada

Compendio mensual de información. Abril 2009
Compendio mensual de información. Marzo 2009
Compendio mensual de información. Febrero 2009
Compendio mensual de información. Enero 2009


# pistus

Ver más

viernes, 29 de mayo de 2009

Una recorrida por los últimos scareware VIII

Nuevos dominios diseminando códigos maliciosos del tipo scareware han surgido durante los últimos días. Una pequeña muestra de ellos lo constituye el presente post.

Malware Cleaner
MD5: d591d5bb085cd636936424afa28001bd
IP: 95.129.145.30
United Kingdom United Kingdom Ventrex Llp Customers
Dominios asociados
cleancontroller .com
1-malwarecleaner2009 .com
2-malwarecleaner2009 .com

Result: 8/39 (20.51%)

Privacy Components
MD5: e08b9468c5985f2c26d81855992e4d4e
IP: 194.165.4.39
Ukraine Ukraine Plitochnik Lux Ltd
Dominios asociados
privacy-tools-pack .com
privacy-center .org
privacy-centar .org
privacyupdate447 .com

Result: 24/41 (58.54%)

OS Protection
IP: 94.232.248.66
Ukraine Ukraine Bastion Trade Group
Dominios asociados
antiawarepro .com
antivguardian .com
antivirprof .com
antivirsystem .com, systguard .com, osguardpro .com


weekendtravet.cn, loshadinet.com, resorttravet.cn, roomsme.cn, use-sena.cn, woolcart.cn, wowregister.cn, youbonusnew.cn, nextfreedollar.com, blogtransaction.cn, lifenaming.cn, roselambda.cn, seamodern.cn, startgetaways.cn, travets.cn, heartdomainer.cn, vilasse.cn, vilihood.cn, autoperformspec.com, travetbeach.cn, rainjukebox.cn, moulitehat.cn, dreamlitediamond.cn, palaceyou.cn, teamwows.cn, financeimprove.cn, symphonygold.cn, stakeshouse.cn, xuyxuyxuy.cn, smilecasino.cn (91.212.41.96) - Russian Federation Gaztransitstroyinfo

initpcsecurityscan.com/download.php, bestwebscantools.com/download.php (209.44.126.241) - Canada Laval Netelligent Hosting Services Inc

zerocleaner.com/download.php (84.16.244.116) - Poland Netdirect-net-exportal

bestcover2u.cn, bestcover4u.cn, bestcoverforyou.cn, bestdefenselive.cn, bestexaminedisease.cn, bestfriskviruslive.cn, bestprotectiononline.cn, bigcoverlive.cn, bigdefense2u.cn, bigprotectionlive.cn (91.212.41.114) - Russian Federation Gaztransitstroyinfo


Información relacionada

Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

Ver más

miércoles, 27 de mayo de 2009

Unique Sploits Pack. Manipulando la seguridad del atacante II

Unique Sploits Pack es otra de las alternativas que ofrece el submundo clandestino de la venta de crimeware de origen ruso. Sin embargo, posee una particularidad en relación a otros de su especie: incorpora un módulo llamado Vparivatel mediante el cual propaga rogue a través de Ingeniería Social.

En este caso, se trata de una versión beta de este crimeware que, aparentemente lleva poco tiempo activo ya que en los pocos días que venimos siguiéndolo, luego de "violar" su esquema de autenticación, no ha alcanzado un nivel de infección llamativo, por ende, tampoco ha logrado un número importantes de zombis.

Aún así, esta amenaza se encuentra activa y propagando diferentes amenazas, pero antes de ver cuáles son los códigos maliciosos que disemina, miremos un poco más de cerca algunos datos estadísticos que nos permiten tener una idea lo suficientemente concreta de la actividad que posee la botnet.

De la captura podemos desprender que:
  • El sistema operativo más explotados por este crimeware es Windows XP SP1.
  • El segundo lugar lo ocupan "otras" plataformas "no windows".
  • Windows XP SP2 es el tercero en la lista de los OS más explotados.
  • Internet Explorer en sus versiones 5.5, 6.0, 7.0 y Firefox 3.0.5 son los navegadores que más a vulnerado el crimeware a través de sus amenazas.
  • El ítem "others" en Browser, representa a navegadores como Opera y Amaya.
En cuanto a las zombis que ha logrado (hasta el momento) reclutar, se encuentran en diferentes países, los cuales podemos observar a través de la siguiente imagen.

Sin embargo, el módulo Vparivatel parecería no ser tan efectivo hasta el momento ya que no posee actividad "positiva" para el botmaster :D

Entre las amenazas que propaga Unique Sploits Pack se encuentran, según identificación de kaspersky:
El primero de ellos con una tasa de detección mediocre del 27.50% en base a 40 motores antivirus (11/40); y el segundo con un índice un poco más alto 43.59%, es decir, 17 compañías antivirus de 40 detectan la amenaza.

Estos códigos maliciosos son propagados a través de diferentes vulnerabilidades de las cuales algunas son más nuevas que otras, pero a pesar de la antiguedad de la mayor parte de vulnerabilidades que se explotan a través de este crimeware, siguen siendo muy efectivas.

No sólo se explotan vulnerabilidades en los navegadores web más populares (IE, Firefox y Opera), sino que también vulnerabilidades de dos lectores de archivos PDF ampliamente utilizados en la actualidad: Adobe Acrobar Reader y Foxit Reader.

Como se mencionó en un principio, actualmente este paquete crimeware se encuentra propagando malware de manera activa explotando diferentes vulnerabilidades en los equipos víctimas, y a pesar de no tener por el momento un número importante de máquinas controladas, no deja de ser una potencial y constante amenaza para la salud del sistema que obliga a mantener las actualizaciones de seguridad (del OS y de las aplicaciones) al día.

Información relacionada
YES Exploit System. Manipulando la seguridad del atacante
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades

# pistus

Ver más

sábado, 23 de mayo de 2009

PHP Shell Attack II - Dive Shell

Los aplicativos escritos en php que permiten ejecutar comandos en equipos vulnerados a través de una shell remota (backdoor) previamente implantada no es un concepto nuevo. De hecho, los defacer las utilizan para desfigurar sitios web (una filosofía un tanto olvidada limitada tan sólo a algunos "nostálgicos" hacktivistas y a prematuros aspirantes a ciberdelincuentes).

Si bien son conceptos diferentes, quizás se podría decir que estos aplicativos escritos en PHP son el hermano "antiguo" de los paquetes crimeware que conocemos hoy y que permiten, no sólo hacer defacing sino que también ejecutar diferentes amenazas a través de diferentes técnicas de ataque e intrusión con herramientas como ZeuS, YES, Unique, Adrenalin, entre tantas otras.

Los grupos de ciberdelincuentes que se dedican a estas actividades suelen desarrollar sus propias armas: las shell en php. Muchos pensarán que para estos casos, hablar de ciberdelincuentes es un poco extremo, pero si consideramos que un defacing es una intrusión no autorizada y bajo ese concepto, por más que se argumente ser una especie de "auditoria" que intenta descubrir las vulnerabilidades para que el webmaster del sitio (o el administrador del servidor) las solucione o que sólo es una faceta destinada a "observar" los sistemas, la intrusión no deja de ser una acción poco ética e ilegal dependiendo el país donde se realice.

En este caso, la aplicación llamada Dive Shell fue creada por un grupo de defacers llamado Emperor Hacking Team que, entre otras cosas, son autores de desfiguraciones como las siguientes:

La interfaz del backdoor escrito en php es la siguiente:

La aplicación, que trabaja desde el servidor, permite la ejecución de comandos sin importar la plataforma en la que se opere, lo que evidentemente constituye un grave peligro en los servidores débiles.

Aunque el defacing parezca ser una actividad olvidada, la realidad es que constantemente se realizar desfiguraciones de sitios web y de manera esporádica suelen aparecer algunos; sin embargo, casos recientes como el ejecutado contra el NIC de Ecuador o el de Google Marruecos, pueden despertar de manera potencial una "moda" causando un efecto retro, sobre todo en los medios de información.

Información relacionada
PHP Shell Attack I - SimShell
Desfiguración de sitios web III

# pistus

Ver más

jueves, 21 de mayo de 2009

YES Exploit System. Manipulando la seguridad del atacante

Algunos de ellos desean utilizarte. Algunos de ellos desean ser utilizados por ti. Algunos de ellos desean abusar de ti. Algunos de ellos desean ser abusados. Yo quiero utilizarte y abusar de ti. Yo quiero saber que hay dentro de ti.

Eurythmics - 1983


Cualquier capa de seguridad que implementemos en un entorno de información busca proteger nuestros activos de potenciales acciones hostiles y nocivas, de las cuales los códigos maliciosos representan uno de los peligros más importantes contra los cuales se orientan e intentan proteger esos esquemas de seguridad.

En ese sentido, los aplicativos crimeware desarrollados para propagar diferentes amenazas y formar botnets (p.e. ZeuS, Unique, LeFiesta, YES Exploit, entre tantos otros) donde luego cada nodo infectado (zombi) es administrado vía web a través de un panel de control, están marcando una tendencia maliciosamente difícil de desprender de Internet.

Sin embargo, es muy ameno ver cómo esas medidas de protección que tanto buscamos a través de diferentes esquemas, en muchos casos, tampoco se tienen en cuenta del lado del crimeware :D dejando abierta la puerta del "parque" para que muchos nos podamos "divertir" al aprovechar sus debilidades.

Y esto no resulta tan ilógico si tenemos en cuenta que se trata de programas, de código, que como cualquier otro, siempre se encuentran propensos a diversos fallos de programación, malas configuraciones o incluso configuraciones por defecto.

Es así que la falta de seguridad le jugó en contra a un ejemplar de un conocido y muy activo Kit de administración y control vía web llamado YES Exploit System...

... que luego de sortear su esquema de autenticación se pudo acceder a información detallada de cada nodo que forma parte de la botnet que se administra por intermedio del crimeware.

En consecuencia, quien manipula una importante cantidad de computadoras,terminó siendo siendo manipulado :-)

Sin embargo, resulta una buena oportunidad para ver datos estadisticos que almacena el aplicativo malicioso. Entre ellos:
  • Navegadores y sus respectivas versiones en los cuales se explotaron vulnerabilidades
  • Diferentes plataformas vulneradas
  • Equipos controlados
  • País de origen de cada nodo infectado
Además de otra información relevante para que el atacante sepa que tipo de exploit deberá utilizar en relación a la tecnología que más se utiliza (IE 7 y Windows XP).
Sin embargo, también observamos que existen equipos controlados con plataformas Linux y MacOS. Si bien ambas plataformas no poseen la misma cantidad de víctimas como en el caso de las plataformas Microsoft, lentamente marca una tendencia sobre códigos maliciosos desarrollados para estas plataformas.

Información relacionada
YES Exploit System. Otro crimeware made in Rusia
ZeuS Carding World Template. Jugando a cambiar la cara de la botnet
Adrenalin botnet: zona de comando. El crimeware ruso marca la tendencia
Chamaleon botnet. Administración y monitoreo de descargas
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
Barracuda Bot. Botnet activamente explotada
Creación Online de malware polimórfico basado en PoisonIvy


# pistus

Ver más

lunes, 18 de mayo de 2009

Defacing como noticia

Hace un rato, chequeando mis correos veo que se ha publicado un nuevo boletín de la comunidad de seguridad hispanohablante Segu-Info, y en el cual leo que han hecho una cobertura en relación a los casos de defacing que últimamente han hecho ruido en los medios de información.

En consecuencia, es muy grato ver cómo, desde este mismo blog, que nació como un espacio de ocio personal y poco a poco ha ido planteando un camino que intenta mostrar diferentes vetas de las acciones maliciosas del malware “sin esconder” absolutamente nada, no nos encontramos demasiado lejos de los temas actuales que en materia de seguridad surgen en general ni de los problemas en relación a los códigos maliciosos en particular; ni tampoco, en cuanto a las proyecciones sobre lo que creemos surgirá a futuro.

Como en el tema que nos atrae en esta oportunidad, el “defacing como noticia”, y del cual desde principio de año venimos comentando algunos de sus aspectos que parecían olvidados pero que hoy hacen bastante ruido; incluso, mostrando herramientas universalmente empleadas para cometer este tipo de intrusiones no autorizadas.

Nos complace saber que el camino que seguimos no se encuentra al margen de los problemas y riesgos a los cuales nos exponemos cotidianamente y que en muchos casos nos golpean de cerca, con el ánimo de crear un espacio de encuentro donde la información, en base a la investigación, sea compartida sin que se ofusque.

Información relacionada
PHP Shell Attack I - SimShell
Scripting attack. Explotación múltiple de vulnerabilidades
Desfiguración de sitios web III
Desfiguración de sitios web II
Desfiguración de sitios web I

# pistus

Ver más

Masiva propagación de malware a través de falsos sitios de entretenimiento

Los casos de propagación de códigos maliciosos a través de diferentes metodologías de engaño constituyen una parte fundamental dentro del ciclo de diseminación que los desarrolladores de malware emplean.

Los recursos que se ofrecen a través de Internet con fines de entretenimiento suelen constituir uno de los blancos más explotados para la diseminación de código nocivo, y a tal efecto he recibido muchas consultas en torno a sitios web con material infantil de entretenimiento que aloja alguna inyección de código dañino o descarga de malware.

Un ejemplo concreto lo constituyen las estrategias de engaño que aprovechan Ingeniería Social visual para explotar recursos masivamente buscados en la nube de información y del cual he mostrado varios ejemplos.

En este sentido, otras de las alternativas maliciosamente gestadas en la mente de algún desarrollador malicioso son los sitios intencionalmente creados para la propagación de código malicioso.

Por ejemplo, un falso sitio del proyecto Emule (el famoso programa cliente para descarga de archivos a través de redes P2P), desde donde se descarga un binario llamado
Actualmente con muy baja tasa de detección; sólo 3 de 40 antivirus.

También un falso sitio del reproductor de videos Live Player, desde el cual se descarga el ejecutable llamado
Detectado por 9 de 40 motores antivirus.

Esto se está explotando activamente a través de una campaña que engloba sitios web promocionando programas masivamente utilizados. Los dominios involucrados son:

backstripgirls .com
buscalisto .com download.hot-tv .com
download.live-player .com

download.official-emule .com

download.original-solitaire .com

download.speed-downloading .com

download.web-mediaplayer .com

favorit-network .com

games-attack .com

go-astro .com go-turf .com
gomusic .com

gomusic .net

hot-tv .com

littlesmileys .com

live-player .com

official-bittorrent .com

original-solitaire .com

pc-on-internet .com

schnellsucher .com

search-solver .com

speed-downloading .com

static.favorit-creatives .com

vl02.c76.fvtn .net

web-mediaplayer .com

www.buscalisto .com

www.favorit-network .com

www.games-attack .com

www.gomusic .com

www.hot-tv .com

www.live-player .com

www.official-bittorrent .com

www.official-emule .com
www.pc-on-internet .com

www.schnellsucher .com

www.search-solver .com

www.smilymail .com

www.speed-downloading .com

www.trovarapido .com

www.web-mediaplayer .com


Incluso, a través de una búsqueda se obtiene que estos sitios poseen un buen posicionamiento web, quizás a través de técnicas Black Hat SEO.

Esto demuestra el "entusiasmo" que los creadores y diseminadores de malware depositan en estas acciones delictiva buscando claramente engañar a los usuarios al intentar captar la atención con métodos propagandistas de promoción de malware a través de falsos sitios.

Información relacionada
Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual

# pistus

Ver más

sábado, 16 de mayo de 2009

Scareware. Estrategia de engaño propuesta por Personal Antivirus

Sin lugar a dudas, las estrategias de engaño son una pieza fundamental para formar la maquinaria que mueve la industria del malware que constantemente busca explotar las debilidades de lo que se encuentra entre la silla y el teclado de la PC: el factor humano, o capa 8 como diría un querido amigo :D

Lo cierto es que cualquier tipo de motivo es válido para los propagadores de malware, incluso, en el afán de aplicar Ingeniería Social a la mente de los usuarios, los mecanismos de seguridad que suelen implementar compañías que ofrecen servicios a través de Internet, son utilizados para el engaño.

Una de estas protecciones es la que nos ofrece Google alertando al usuario cuando está a punto de acceder a un sitio que aloja contenido dañino, bloqueando el sitio advirtiendo del potencial peligro a través de un mensaje que dice:

"Este sitio web ha sido reportado como un sitio atacante y ha sido bloqueado basándose en sus preferencias de seguridad. Los sitios atacantes intentan instalar programas que pueden robar información privada, usar su computadora para atacar otras o dañarlo. Algunos sitios atacantes distribuyen intencionalmente programas dañinos, pero muchos son instalados sin el conocimiento o permiso de sus propietarios".

Sin embargo, más allá de la protección, que es muy importante, las campañas de propagación se encargan de idear estrategias cada vez más profesionales y, por ende, cada vez más peligrosas. Una de estas campañas está siendo activamente explotada por el scareware llamado Personal Antivirus que, simulando la protección que ofrece Google, emite un alerta muy similar a simple vista, cuyo mensaje dice lo siguiente:

"¡Advertencia! La visita de este sitio puede dañar tu equipo!
Este sitio web probablemente contiene programas maliciosos que pueden causar daños al equipo o rendimiento sin su permiso. Su computadora puede resultar infectada visitando dicho sitio Web. Le recomendamos que instale (o active) el programa de seguridad antivirus..."

Ofreciendo dos opciones: "continuar desprotegido" o "adquirir un programa de seguridad". A pesar de tener la supuesta posibilidad de decidir, cuando se hace clic sobre alguno de los botones, el usuario es remitido directamente al sitio web del scareware, en el cual se insita a la compra del falso programa de seguridad antivirus. Que de hecho, cuesta la módica suma de USD 59.95

Los códigos maliciosos tipo scareware son cada vez más agresivos y sus estrategias cada vez más profesionales, esto demuestra una clara influencia que pone en manifiesto que detrás del desarrollo de malware y métodos de propagación/infección, se encuentran células delictiva que asiduamente intentan obtener dinero a través de diferentes estafas.

Información relacionada
Una recorrida por los últimos scareware VII
Campaña de Ingeniería Social visual orientada a plataformas MacOS
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección I
Ingeniería Social visual para la propagación de malware
Técnicas de engaño que no pasan de moda

# pistus

Ver más

viernes, 15 de mayo de 2009

Una recorrida por los últimos scareware VII

Nuevos programas maliciosos del tipo scareware han surgido durante este mes, bajo la cobertura de supuestas soluciones de seguridad y bajo nuevos dominios maliciosos.

Personal Antivirus
MD5: f5efa77ddc74c5a143d71dc3c3316ca9
IP: 78.47.91.153
Germany Germany Berlin Siarhei Shandrokha
Plataforma: Windows
Dominios Asociados
1bestprotectionscanner .com advancedproantivirusscanner .com adware-removal-tool .com alaskatoursonline .cn; antimalwarescannerv2 .com; antimalwaresecurityscan .com; antiviruspowerfulscanv2 .com; antivirusquickscanv2 .com; arangeyourdreams .cn; bestgossips .cn; bestworldmusic .cn; controlledsurfaces .cn; fastantimalwareproscanner .com; fastantimalwarescan .com; fordgreatcars .cn; hairstylezone .cn; latenighttalks .cn; pcsoftwarepayments .com; pleasentsurfing .cn; prideandglorynow .cn; protectionauditview .cn; quicklylivelinks .cn; saturationpower .cn; securityhelpcenter .com; tabletpccomputing .cn; teafuntrip .cn; thankyou4check .com; whreismyplugnplay .cn; worldcommercialbusiness .cn

VT Report: 34/40 (85%)

Registry Smart
MD5: 4622bb46f85be14dc7a5acf0c1464ee1
IP: 75.125.200.226
United States United States Dallas Theplanet.com Internet Services Inc
Plataforma: Windows
Dominios Asociados
registrysmart .com
adwarealert .com
audiowizardproeartrainer .com
database.registrysmart .com
evidenceeraser .com
getyourbandsigned .com
registrysmart .com
restore-pc .com
www.adwarealert .com
www.evidenceeraser .com
www.registrysmart .com
www.restore-pc .com
regofamily .net

VT Report: 5/40 (12.5%)


PC Codec Pack

IP: 194.165.4.77
Ukraine Ukraine Plitochnik Lux Ltd
Plataforma: Windows
Dominios Asociados
pc-codec-pack .com
adobesoft.co .cc
codecs.tubeloyaln .com
codecvistaz .com; codecxpvista .com; litetubevideoz .com; litetubevideoz .net; loyal-porno .com; loyaldown99 .com; loyalvideoz .com; molodiepilotki .com; pcvistaxpcodec .com; suckitnow1 .com; truepornmovies .com; truepornupload .com; truepornvideo .com; tubeloyaln .com; tubeontvgl .com; uplcodecset3 .com; uploadmoviez .com; videosz.tubeloyaln .com; wedare.tubeloyaln .com; win-pc-defender .com; wincodecupdate .com; winpcdown10 .com; winpcdown99 .com; www.codecvistaz .com; www.litetubevideoz .net: www.loyal-porno .com: www.loyaldown99 .com: www.loyalvideoz .com; www.pcvistaxpcodec .com; www.winpcdown99 .com; hypersecurityshield .com

Antivirus 360
IP: 88.214.204.40
United Kingdom United Kingdom Real International Business Corp
Plataforma: Windows
Dominios asociados:
antivirus-remote .com; awmgraphics .com; capital-hotels .net; dj77 .ru; dynaprintinc .com; flaxxvid .com; fullsitehost .info; helianaltd .com; ho1m .ru; maxstart .net; mivodesign .com; pixustudio .com; platinka .com; pochtarnt .ru; pornoearth .ru; pornogroupp .ru; rbc-mail .ru; revagefurniture .com; salonsti .com; siki .ru; sweetgey .ru; teen-sex-free .com; uktranslation .net; vashuspeh .com; wap4ik .com; weabl .com; www.add-your-video .net; www.dj77 .ru; www.entechpartners .com; www.ho1m .ru; www.lowerlights .net; www.mivodesign .com; www.pixustudio .com; www.pochtarnt .ru; www.pornoearth .ru; www.pornotrans .ru; www.rbc-mail .ru; www.revagefurniture .com; www.salonsti .com; www.smashmp3 .com; www.thebestceleb .com; www.uktranslation .net; www.xxxfreedirect .com; www.xxxshemaletour .com; xxxshemaletour .com


errorsweeper .com (75.125.61.162) - United States Theplanet.com
rusuchki .com/go/freevideo2
(95.211.7.140) -
Netherlands Leaseweb
hitpresent .com/go.php?sid=3
(195.95.151.138) -
Ukraine Kiev Eastnet-ua-net
xvirusdescan .com
(209.44.126.241) -
Canada Laval Netelligent
antivirusquickscanv1 .com
(69.4.230.204) -
United States Theplanet.com
antivirusquickscanv1 .com
(78.47.91.153) -
Germany Siarhei Shandrokha
antivirusquickscanv1 .com (83.133.123.140) - Germany Lncde-greatnet-newmedia
antivirusquickscanv1 .com (94.102.48.28) - Netherlands Root Esolutions
antivirusquickscanv1 .com
(212.117.165.126) -
Luxembourg Root Esolutions
antivirusquickscanv1 .com (38.99.170.210) - United States Theplanet.com
sexerotika2009.ru/admin/red/en .php (74.54.176.50) - United States Theplanet.com
softsupportmail.com (216.245.195.84) - United States Theplanet.com
guardav .com (72.232.187.198) - United States Layered Technologies Inc
fixupdates .com
(174.36.234.248) -
United States Softlayer Technologies Inc
online-av-scan2008 .net
(74.50.117.89) -
United States Noc4hosts Inc
av-antivir-check .com
(74.50.117.76)
- United States Noc4hosts Inc
best-av-scanner .com
(74.50.117.74)
- United States Noc4hosts Inc
goodsite.in/good/in .cgi?7
(212.98.162.59) - Belarus Belarus Minsk Bisiness Network Jv

fullvirusprotection .com
(75.126.137.166) - United States Softlayer Technologies Inc
freewebmypcscan .com (95.129.144.236) - United Kingdom Ventrex Llp Customers
winbestsoftdownload .com (217.112.94.230) - United Kingdom Poundhost Customer Server
atom4scan .info; fan4scan .info; lux4scan .info; mini4scan .info; scan4atom .info; scan4fan .info; scan4mini .info; scan4mix .info; scan4ray .info; scan4star .info; fanscan4 .com; rayscan4 .com; scan6list .com (209.44.126.102) - Canada Laval Netelligent Hosting Services Inc
fuse6scan .com; way6scan .com; fusescan6 .com; listscan6 .info (78.159.115.216) - Germany Netdirekt E.k
open6scan .com; scan6fuse .com; scan6open .com (38.105.19.27) - United States Psinet Inc

AdwareHelp 2009
MD5: 07EB9CC49C8CB08C435914723134A236
IP: 74.54.241.100
United States United States Dallas Theplanet.com
Plataforma: Windows
Dominios Asociados
adware-help .com
allworldstars .net, freemediashare .net, funtarget .com, germek .net, gorasoft .net, iframr .com


Información relacionada

Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# pistus

Ver más