Tecnologia e Digital Hacks
12-04-2008

Siti normali con virus incluso

Oggi un amico mi ha segnalato la presenza di un dialer nel sito http://www.mojitonline.it/.

Inutile dire che non dovete cliccarci. Il punto è che spesso dei siti con contenuti affidabili mettono inavvertitamente al proprio interno del codice potenzialmente maligno magari presente in servizi di statistiche poco conosciuti, di banner, ecc.

Questi servizi richiedono l'inserimento di uno script javascript. Ad esempio dentro moji.. abbiamo questo codice:

<img src="http://stat.iperstat.net/spider.php?u=17861" width="1" height="1"> <script src="http://stat.iperstat.net/counter.php?user=17861"> </script>

Che inserisce nel nostro pc (praticamente automaticame nte, antivir e comodo non hanno bloccato il loro inserimento dentro la mia home --> windows style) un file di nome casuale che cerca di cambiare home pages e quant'altro. Ecco il risultato di una sua scansione:

http://www.virustotal.com/it/analisis/f95af4042bd2f781f46ab7a4a893ca5a

Insomma.. anche stiamo sempre molto attenti a quello che andiamo a mettere sui nostri siti.

Per chi fosse incappato in questo virus-dialer-malware, consiglio il  software gratuito Spybot. Inoltre raccomando la scansione con McAfee FreeScan online. Se non funziona provate con F-Secure.

Questo articolo è stato pubblicato il 31-12-1969 alle 18:33 e classificato in .

3 Commenti a “Siti normali con virus incluso”

  1. Nick scrive:
    31-12-1969 alle 18:33

    @Michele In effetti spybot cancella l'esecuzione del file, ma non il file stesso. Per cancellare questo, oltre al metodo che hai indicato, è possibile usare uno dei due scanner online che, come si vede dal test di virustotal, trovano ed eliminano quel malware . Ti ringrazio per la preziosa segnalazione! Magari provo a fare un articolo per entrare più in profondità e scoprire esattamente cosa fa quel virus. :)

  2. Michele scrive:
    31-12-1969 alle 18:33

    Con Spybot, il risultato e' l'eliminazione di 4 chiavi di registro, il file però resta li al suo posto(probabilmente inutilizzabile dopo la rimozione delle chiavi di registro!)! Consiglio quindi di cliccare con il tasto destro sul link presente sul desktop, guardare il percorso a cui si riferisce il link, spostarsi dentro la directory ed eliminare manualmente il file!

  3. Michele scrive:
    31-12-1969 alle 18:33

    Spybot lo uso da un po'...però non ho controllato se mi vedeva il "virus" oppure no...l'ho eliminato..quasi quasi lo scarico apposta per vdere se spybot lo trova! Cmq se non sbaglio, si può assegnare a Spybot una directory che lui controlla continuamente..no? Ora vado a guardare!