شماره: IRCNE2014012065
تاريخ:22/10/92

مجرمان سايبري كه رايانه هاي كاربران اروپايي ياهو را آلوده كردند قصد داشتند تا شبكه بزرگ Bitcoin را راه اندازي كنند.
اوايل هفته محققان امنيتي شركت Light Cyber دريافتند كه يكي از بدافزارهايي كه براي آلوده نمودن منابع رايانه ها استفاده شده است قصد اجراي يك شبكه Bitcoin را داشته است. اوايل ماه ژانويه شركت امنيتي Fox IT در گزارشي بيان كرد كه از طريق سرور تبليغاتي ياهو كمپيني از تبليغ افزارها در حال گسترش است. اين بدافزار از آسيب پذيري هاي جاوا سوء استفاه مي كند و كساني كه داراي نسخه اي آسيب پذير از جاوا مي باشند و سايت ads.yahoo.com را مشاهده كرده اند به اين بدافزار آلوده شده اند.
اين حمله در روزهاي 31 دسامبر تا 3 ژانويه به وقع پيوسته است و روز يكشنبه ياهو اعلام كرد كه تبليغ افزارها حذف شده اند و مشكلي وجود ندارد. هم چنين اين شركت در بيانيه اي آورده است كه كاربران امريكاي شمالي، قاره آسيا و امريكاي لاتين تحت تاثير اين بدافزار قرار نداشتند. به علاوه كاربران مكينتاش و دستگاه هاي تلفن همراه نيز از حمله اين بدافزار در امان بودند.
به كاربراني كه به اين بدافزار آلوده شدند توصيه مي شود كه رايانه خود را توسط يك اسكنر ويروس اسكن كامل كنند و دامنه هاي اينترنتي زير را از طريق مسيرياب و يا فايروال مسدود نمايند.

• blistartoncom.org
• doesexisted.in
• formsgained.in
• funnyboobsonline.org
• goodsdatums.in
• locationmaking.in
• mejudge.in
• operatedalone.in
• original-filmsonline.com
• preferringbad.in
• savedesiring.in
• slaptoniktons.net
• slaptonitkons.net
• stopsadvise.in
• yagerass.org
• 192.133.137.100
• 192.133.137.247
• 192.133.137.56
• 192.133.137.59
• 192.133.137.63
• 193.169.245.74
• 193.169.245.76

مطالب مرتبط:
شناسايی تبليغ افزارهای مخرب بر روي ياهو

شماره: IRCNE2014012064
تاريخ:22/10/92

يك تجزيه و تحليل امنيتي در خصوص برنامه هاي كاربردي بانكداري آنلاين براي دستگاه هاي iOS نشان داد كه بسياري از آن ها در برابر حملات مختلف آسيب پذير مي باشند و اطلاعات حساس را افشاء مي كنند.
آريل سانچز، مشاور امنيتي شركت IOActive، تشريح كرد كه چگونه برنامه هاي كاربردي بانكداري با سرورها ارتباط برقرا مي كنند، چگونه داده ها را به صورت محلي ذخيره مي كنند و هم چنين چه اطلاعاتي از طريق لاگ ها افشاء مي شوند و چه آسيب پذيري هايي در كد اين برنامه ها وجود دارد.
محققان دريافتند كه تمامي برنامه هاي آزمايش شده مي توانند بر روي دستگاه هاي jailbroken نصب و اجرا شوند. اين كار به تنهايي يك مخاطره امنيتي به حساب مي آيد زيرا jailbreaking حفاظت هاي امنيتي iOS را از بين مي برد و به برنامه هايي كه برروي دستگاه نصب هستند اجازه مي دهد تا به منابع محدود شده ساير برنامه ها دسترسي يابد. در دستگاه هايي كه jailbroken نشده اند اين دسترسي وجود ندارد.
سانچز دريافت در حالي كه برنامه هاي كاربردي بانكداري عموما براي ارتباطات حساس از رمزگذاري SSL استفاده مي كنند، 90 درصد از برنامه هايي كه مورد آزمايش قرار گرفتند در حين اجرا مي توانند چندين ارتباط ناامن برقرار كنند. اين مساله به مهاجماني كه ترافيك شبكه را رهگيري مي كنند اجازه مي دهد تا كدهاي دلخواه جاوا اسكريپت يا HTML را تزريق كنند. به عنوان مثال مهاجمان مي توانند با استفاده از اين روش صفحه ورودي جعلي را به كاربر بر نامه نشان دهند يا ساير حملات مهندسي اجتماعي را پياده سازي نمايند.
علاوه بر اين، 40 درصد از برنامه ها اعتبار گواهينامه هاي ديجيتالي را كه از سرور دريافت كردند، ارزيابي نمي كنند و اين مساله برنامه ها را در برابر حملات man-in-the-middle آسيب پذير مي كند.
با توجه به يافته هاي محققان، سانچز توصيه هاي زير را به توليدكنندگان برنامه هاي كاربردي بانكداري پيشنهاد مي دهد.

• اطمينان حاصل شود كه تمامي ارتباطاتي كه ايجاد مي شود از پروتكل هاي ارتباطي امن استفاده مي كند
• اجراي اعتبارسنجي گواهينامه هاي SSL
• رمزگذاري داده هاي حساسي كه توسط برنامه هاي كاربردي ذخيره مي شوند
• بهبود تشخيص jailbreaking
• حذف اظهارات و اطلاعات اشكال زدايي و حذف تمامي اطلاعات توسعه برناه از روي محصولات نهايي

ID: IRCNE2014012065
Date: 2013-01-12

According to "cnet", the cybercriminals who infected the computers of European Yahoo users apparently wanted to create a huge Bitcoin network.
Researchers at security firm Light Cyber revealed this week that one of the malware programs aimed to use the resources of infected PCs to perform the calculations necessary to run a Bitcoin network. Reported earlier this month by fellow security firm Fox IT, the campaign spread its package by using Yahoo's ad server to deploy malicious ads. The malware took advantage of vulnerabilities in Java to install itself on computers that visited the ads.yahoo.com site.
The malware attack reportedly lasted from December 31 through January 3, when Yahoo took down the malicious ads. On Saturday, Yahoo acknowledged the issue through the following statement:
At Yahoo, we take the safety and privacy of our users seriously. On Friday, January 3 on our European sites, we served some advertisements that did not meet our editorial guidelines, specifically they spread malware. We promptly removed these advertisements. Users in North America, Asia Pacific and Latin America were not served these advertisements and were not affected. Additionally, users using Macs and mobile devices were not affected.
People with infected computers are advised to run a full virus scan and block the Internet domains listed above through their router/firewall.
Communication with the following Internet domains/IP addresses is an indication of a possible infection:

• blistartoncom.org
• doesexisted.in
• formsgained.in
• funnyboobsonline.org
• goodsdatums.in
• locationmaking.in
• mejudge.in
• operatedalone.in
• original-filmsonline.com
• preferringbad.in
• savedesiring.in
• slaptoniktons.net
• slaptonitkons.net
• stopsadvise.in
• yagerass.org
• 192.133.137.100
• 192.133.137.247
• 192.133.137.56
• 192.133.137.59
• 192.133.137.63
• 193.169.245.74
• 193.169.245.76

Relates Link:
Yahoo serves malicious ads

شماره: IRCNE2014012063
تاريخ:21/10/92

گروهي از توليدكنندگان بدافزار، برنامه گروگان گير جديدي را آماده كردند كه فايل ها را بر روي رايانه هاي آلوده شده رمزگذاري مي كند و از قرباني مي خواهد براي دسترسي به اين فايل ها مبلغي را پرداخت نمايد.
اين بدافزار جديد را PowerLocker نامگذاري كردند و ايده آن از تروجان گروگان گير موفق CryptoLocker كه از ماه سپتامبر حدود 250000 رايانه را آلوده كرد، الهام گرفته شده است. اين بدافزار همانند بدافزار CryptoLocker از يك روش رمگذاري قوي استفاه مي كند كه بدون پرداخت پول نمي توان به فايل ها دسترسي يافت. هم چنين از آن جا كه توليدكنندگان آن اعلام كردند كه قصد دارند اين بدافزار گروگان گير را به مجرمان سايبري بفروشند، اين بدافزار بسيار پيچيده و به طور بالقوه بسيار خطرناك مي باشد.
با توجه به يافته هاي يك توليدكننده بدافزار كه با شناسه آنلاين "gyx" شناسايي مي شود، بدافزار PowerLocker شامل يك فايل واحد است كه در فولدر موقت ويندوز قرار مي گيرد. زماني كه براي اولين بار بر روي رايانه اي اجرا شود، تمامي فايل هاي كاربر را كه بر روي درايوهاي داخلي و فايل هايي كه در شبكه به اشتراك گذاشته است به استثناي فايل هاي اجرايي و سيستمي، رمزگذاري مي كند. هر فايل با يك الگوريتم Blowfish و يك كليد واحد رمز مي شود سپس اين كليدها با كليد RSA 2048 بيتي رمز مي شود. در واقع رايانه كاربر كليد عمومي را دارد اما كليد خصوصي متناظر با آن كه براي بازگشايي رمز نياز است را در اختيار ندارد.
امروزه تمامي بدافزارها از طريق سوء استفاده از آُسيب پذيري هاي موجود در برنامه هاي محبوبي مانند جاوا، فلش پلير و ... توزيع مي شوند در نتيجه براي اجتناب از آلوده شدن به هر گونه بدافزاري، به روز نگه داشتن تمامي برنامه هاي كاربردي اهميت بسزايي دارد.
هم چنين تهيه نسخه پشتيبان از داده هاي موجود بر روي رايانه ها يك ضرورت است و در صورت آلوده شدن به اين بدافزار مي توان بدون پرداخت وجهي فايل هاي مورد نظر را برگرداند. بايد توجه داشت كه نسخه پشتيبان نبايد بر روي همان رايانه يا فايل هاي مربوط به اشتراك گذاري شبكه قرار داشته باشد زيرا اين بدافزار مي تواند تمامي نسخه هاي پشتيبان را نيز تحت تاثير قرار داده و تخريب كند.

شماره: IRCNE2014012062
تاريخ:21/10/92

شركت اوراكل قصد دارد تا همزمان با سه شنبه اصلاحيه مايكروسافت، بسته هاي به روز رساني جاوا را منتشر نمايد.
اين گروه از به روز رساني ها 47 محصول اوراكل را تحت تاثير قرار مي دهد. در اين به روز رساني، 147 آسيب پذيري برطرف خواهند شد. 47 اصلاحيه مربوط به آسيب پذيري هايي است كه مي توانند از راه دور و بدون احراز هويت مورد سوء استفاده قرار بگيرند. هم چنين 36 اصلاحيه براي محصولات Java 7 SE خواهد بود.
فهرست زير محصولاتي كه تحت تاثير اين آسيب پذيري ها قرار دارند آمده است:

• Oracle Database 11g Release 1, version 11.1.0.7
• Oracle Database 11g Release 2, versions 11.2.0.3, 11.2.0.4
• Oracle Database 12c Release 1, version 12.1.0.1
• Oracle Fusion Middleware 11g Release 1, versions 11.1.1.6, 11.1.1.7
• Oracle Fusion Middleware 11g Release 2, versions 11.1.2.0, 11.1.2.1
• Oracle Fusion Middleware 12c Release 2, version 12.1.2
• Oracle Containers for J2EE, version 10.1.3.5
• Oracle Enterprise Data Quality, versions 8.1, 9.0.8
• Oracle Forms and Reports 11g, Release 2, version 11.1.2.1
• Oracle GlassFish Server, version 2.1.1, Sun Java Application Server, versions 8.1, 8.2
• Oracle HTTP Server 11g, versions 11.1.1.6, 11.1.1.7
• Oracle HTTP Server 12c, version 12.1.2
• Oracle Identity Manager, versions 11.1.1.5, 11.1.1.7, 11.1.2.0, 11.1.2.1
• Oracle Internet Directory, versions 11.1.1.6, 11.1.1.7
• Oracle iPlanet Web Proxy Server, version 4.0
• Oracle iPlanet Web Server, versions 6.1, 7.0
• Oracle Outside In Technology, versions 8.4.0, 8.4.1
• Oracle Portal, version 11.1.1.6
• Oracle Reports Developer, versions 11.1.1.6, 11.1.1.7, 11.1.2.1
• Oracle Traffic Director, versions 11.1.1.6, 11.1.1.7
• Oracle WebCenter Portal versions 11.1.1.6.0, 11.1.1.7.0, 11.1.1.8.0
• Oracle WebCenter Sites versions 11.1.1.6.1, 11.1.1.8.0
• Hyperion Essbase Administration Services, versions 11.1.2.1, 11.1.2.2, 11.1.2.3
• Hyperion Strategic Finance, versions 11.1.2.1, 11.1.2.2
• Oracle E-Business Suite Release 11i, version 11.5.10.2
• Oracle E-Business Suite Release 12i, versions 12.0.6, 12.1.1, 12.1.2, 12.1.3
• Oracle Agile Product Lifecycle Management for Process, versions 6.0, 6.1, 6.1.1
• Oracle AutoVue Electro-Mechanical Professional, versions 20.1.1, 20.2.2
• Oracle Demantra Demand Management, versions 7.3.1, 12.2.1, 12.2.2, 12.2.3
• Oracle Transportation Management, versions 5.5.06, 6.0, 6.1, 6.2, 6.3, 6.3.1, 6.3.2
• Oracle PeopleSoft Enterprise HRMS, versions 9.1.0, 9.2.0
• Oracle PeopleSoft Enterprise HRMS Human Resources, versions 9.1, 9.2
• Oracle PeopleSoft Enterprise PeopleTools, versions 8.52, 8.53
• Oracle PeopleSoft Enterprise SCM Services Procurement, version 9.2
• Oracle Siebel Core, versions 8.1.1, 8.2.2
• Oracle Siebel Life Sciences, versions 8.1.1, 8.2.2
• Oracle iLearning, version 6.0
• Oracle FLEXCUBE Private Banking, versions 1.7, 2.0, 2.0.1, 2.2.0.1, 3.0, 12.0.1, 12.0.2
• Oracle JavaFX, versions 2.2.45 and earlier
• Oracle Java JDK and JRE, versions 5.0u55 and earlier, 6u65 and earlier, 7u45 and earlier
• Oracle Java SE Embedded, versions 7u45 and earlier
• Oracle JRockit, versions R27.7.7 and earlier, R28.2.9 and earlier
• Oracle Solaris versions 8, 9, 10, 11.1
• Oracle Secure Global Desktop, versions 4.63.x, 4.71.x, 5.0.x, 5.10
• Oracle VM VirtualBox, versions prior to 3.2.20, 4.0.22, 4.1.30, 4.2.20, 4.3.6
• Oracle MySQL Enterprise Monitor, versions 2.3, 3.0
• Oracle MySQL Server, versions 5.1, 5.5, 5.6

شماره: IRCNE2014012061
تاريخ:21/10/92

شركت مايكروسافت در خصوص به روز رساني هاي سه شنبه ماه ژانويه اطلاعيه اي منتشر كرد. در اصلاحيه سه شنبه ماه ژانويه مايكروسافت تنها چهار به روز رساني منتشر خواهد شد و هيچ يك از آن ها در راه امنيتي بحراني قرار ندارند.
بولتن يك تمامي نسخه هاي مايكروسافت ورد و مشاهده كننده ورد را تحت تاثير قرار مي دهد. بولتن دو تنها مربوط به ويندوز xp بسته سرويس 3 و ويندوز سرور 2003 بسته سرويس 2 مي شود. بولتن سه ويندوز 7 بسته سرويس 1 و ويندوز سرور 2008 R2 بسته سرويس 1 را و بولتن چهار تمامي نسخه هاي پشتيباني شده توسط Microsoft Dynamics AX را تحت تاثير قرار مي دهند.
به طور معمول، شركت مايكروسافت نيز نسخه جديدي از ابزار Microsoft Windows Malicious Software Removal و چندين به روز رساني غير امنيتي را منتشر خواهد كرد.

ID: IRCNE2014012063
Date: 2013-01-11

According to "techworld", a team of malware developers is preparing to sell a new ransomware program that encrypts files on infected computers and asks victims for money to recover them, according to a volunteer group of security researchers who tracked the development of the threat on underground forums in recent weeks.
The new malware is called PowerLocker and its development was most likely inspired by the success of the CryptoLocker ransomware Trojan program that infected more than 250,000 computers since September.
Like CryptoLocker, PowerLocker allegedly uses strong encryption that cannot be cracked to recover the files without paying, but it's also more sophisticated and potentially more dangerous because its developers reportedly intend to sell it to other cybercriminals.
Based on a progress report by the malware's main developer -- a user with the online identity "gyx" -- PowerLocker consists of a single file that's dropped in the Windows temporary folder. Once run on a computer for the first time, it begins encrypting all user files stored on local drives and network shares, except for executable and system files.
Every file is encrypted using the Blowfish algorithm with a unique key. Those keys are then encrypted with a 2048-bit RSA key that's part of a public-private key pair unique for every computer. The computer owners will have the public keys, but won't have the corresponding private RSA keys needed to decrypt the Blowfish keys.
Most malware today is distributed through exploits for vulnerabilities in popular software programs like Java, Flash Player and others, so it is very important to keep all applications up-to-date to prevent infection with ransomware and other threats.
Backing up important data regularly is essential to recovering files in case of infection if users are to avoid paying money to cybercriminals. However, backups should not be stored on the same computer or on network shares to which the computer has write access, because the malware could damage the backups as well.

ID: IRCNE2014012062
Date: 2013-01-11

According to "zdnet", Oracle will be releasing their January 2014 quarterly patches on Patch Tuesday, the same day as Microsoft.
This group of updates affects 47 products. There are a total of 147 vulnerability fixes; some of the vulnerabilities affect multiple products, so the total number of vulnerabilities addressed is less than 147, but not specified. On Tuesday we will likely have that number when the actual CVE numbers are released.
47 of the fixes are for vulnerabilities which can be exploited remotely without authentication, a measure of extreme severity and an indicator that the fix should be applied as soon as possible, as Oracle advises.
36 of the fixes will be for Java 7 SE products, 34 of them exploitable remotely without authentication.
This list below contains all the products, including versions, affected in Tuesday's updates.

• Oracle Database 11g Release 1, version 11.1.0.7
• Oracle Database 11g Release 2, versions 11.2.0.3, 11.2.0.4
• Oracle Database 12c Release 1, version 12.1.0.1
• Oracle Fusion Middleware 11g Release 1, versions 11.1.1.6, 11.1.1.7
• Oracle Fusion Middleware 11g Release 2, versions 11.1.2.0, 11.1.2.1
• Oracle Fusion Middleware 12c Release 2, version 12.1.2
• Oracle Containers for J2EE, version 10.1.3.5
• Oracle Enterprise Data Quality, versions 8.1, 9.0.8
• Oracle Forms and Reports 11g, Release 2, version 11.1.2.1
• Oracle GlassFish Server, version 2.1.1, Sun Java Application Server, versions 8.1, 8.2
• Oracle HTTP Server 11g, versions 11.1.1.6, 11.1.1.7
• Oracle HTTP Server 12c, version 12.1.2
• Oracle Identity Manager, versions 11.1.1.5, 11.1.1.7, 11.1.2.0, 11.1.2.1
• Oracle Internet Directory, versions 11.1.1.6, 11.1.1.7
• Oracle iPlanet Web Proxy Server, version 4.0
• Oracle iPlanet Web Server, versions 6.1, 7.0
• Oracle Outside In Technology, versions 8.4.0, 8.4.1
• Oracle Portal, version 11.1.1.6
• Oracle Reports Developer, versions 11.1.1.6, 11.1.1.7, 11.1.2.1
• Oracle Traffic Director, versions 11.1.1.6, 11.1.1.7
• Oracle WebCenter Portal versions 11.1.1.6.0, 11.1.1.7.0, 11.1.1.8.0
• Oracle WebCenter Sites versions 11.1.1.6.1, 11.1.1.8.0
• Hyperion Essbase Administration Services, versions 11.1.2.1, 11.1.2.2, 11.1.2.3
• Hyperion Strategic Finance, versions 11.1.2.1, 11.1.2.2
• Oracle E-Business Suite Release 11i, version 11.5.10.2
• Oracle E-Business Suite Release 12i, versions 12.0.6, 12.1.1, 12.1.2, 12.1.3
• Oracle Agile Product Lifecycle Management for Process, versions 6.0, 6.1, 6.1.1
• Oracle AutoVue Electro-Mechanical Professional, versions 20.1.1, 20.2.2
• Oracle Demantra Demand Management, versions 7.3.1, 12.2.1, 12.2.2, 12.2.3
• Oracle Transportation Management, versions 5.5.06, 6.0, 6.1, 6.2, 6.3, 6.3.1, 6.3.2
• Oracle PeopleSoft Enterprise HRMS, versions 9.1.0, 9.2.0
• Oracle PeopleSoft Enterprise HRMS Human Resources, versions 9.1, 9.2
• Oracle PeopleSoft Enterprise PeopleTools, versions 8.52, 8.53
• Oracle PeopleSoft Enterprise SCM Services Procurement, version 9.2
• Oracle Siebel Core, versions 8.1.1, 8.2.2
• Oracle Siebel Life Sciences, versions 8.1.1, 8.2.2
• Oracle iLearning, version 6.0
• Oracle FLEXCUBE Private Banking, versions 1.7, 2.0, 2.0.1, 2.2.0.1, 3.0, 12.0.1, 12.0.2
• Oracle JavaFX, versions 2.2.45 and earlier
• Oracle Java JDK and JRE, versions 5.0u55 and earlier, 6u65 and earlier, 7u45 and earlier
• Oracle Java SE Embedded, versions 7u45 and earlier
• Oracle JRockit, versions R27.7.7 and earlier, R28.2.9 and earlier
• Oracle Solaris versions 8, 9, 10, 11.1
• Oracle Secure Global Desktop, versions 4.63.x, 4.71.x, 5.0.x, 5.10
• Oracle VM VirtualBox, versions prior to 3.2.20, 4.0.22, 4.1.30, 4.2.20, 4.3.6
• Oracle MySQL Enterprise Monitor, versions 2.3, 3.0
• Oracle MySQL Server, versions 5.1, 5.5, 5.6

شماره: IRCNE2014012060
تاريخ:16/10/92

با توجه به Fox-IT، در تاريخ سوم ژوئن رايانه هايي كه سايت ياهو را مشاهده كردند به بدافزار آلوده شده اند. تجزيه و تحليل هاي جديد نشان مي دهد كه ياهو در حال برطرف كردن اين مشكل است و ترافيك حمله به طور قابل ملاحظه اي كاهش يافته است.

تبليغ افزاها در فرم IFRAME ها بر روي دامنه هاي زير ميزباني مي شوند:

• blistartoncom.org (192.133.137.59) ثبت شده در اول ژانويه 2014
• slaptonitkons.net (192.133.137.100) ثبت شده در اول ژانويه 2014
• original-filmsonline.com (192.133.137.63)
• funnyboobsonline.org (192.133.137.247)
• yagerass.org (192.133.137.56)

اين تبليغ افزارها كاربران را به سمت سايتي هدايت مي كنند كه از بسته سوء استفاده Magnitude استفاده مي كند. به نظر مي رسد تمامي اين تبليغ افزارها از يك آدرس IP واحد در هلند استفاده مي كنند. بسته سوء استفاده در اين سايت ها براي نصب انواع بدافزارها، از آسيب پذيري هاي جاوا بر روي كلاينت سوء استفاده مي كند. بدافزارهايي كه در نتيجه اين حمله بر روي كلانيت ها نصب شدند، عبارتند از: زئوس، آندرومدا، Dorkbot/Ngr، Advertisement clicking malware، Tinba/Zusy و Necurs.
محققان Fox-IT نشان دادند كه 83 درصد اين حملات در روماني، انگلستان، فرانسه و پاكستان اتفاق افتاده است. آن ها توصيه مي كنند تا زير شبكه هاي 192.133.137/24 و 193.169.245/24 بر روي كليه سيستم ها مسدود شوند.

ID: IRCNE2014012060
Date: 2013-01-06

According to "zdnet", according to Fox-IT, a security product and service company in the Netherlands, computers visiting yahoo.com on January 3 were served malware from the Yahoo ad network (ads.yahoo.com).
Fresh analysis indicates that Yahoo has a handle on the problem and that the attack traffic has decreased substantially.
The ads were in the form of IFRAMEs hosted on the following domains:

• blistartoncom.org (192.133.137.59), registered on 1 Jan 2014
• slaptonitkons.net (192.133.137.100), registered on 1 Jan 2014
• original-filmsonline.com (192.133.137.63)
• funnyboobsonline.org (192.133.137.247)
• yagerass.org (192.133.137.56)

The ads redirect the user to a site using the Magnitude exploit kit, all of which appears to come from a single IP address in the Netherlands. (Perhaps this relates to why Fox-IT's customers were affected so quickly.)
The exploit kit at the site exploits vulnerabilities in Java on the client to install a variety of malware:

• ZeuS
• Andromeda
• Dorkbot/Ngrbot
• Advertisement clicking malware
• Tinba/Zusy
• Necurs

Fox-IT's research shows the 83% of the attacks in Romania, Great Britain, France and Pakistan;
Fox-IT recommends blocking the 192.133.137/24 and 193.169.245/24 subnets until further information is available.