venerdì 20 aprile 2012

Attenti a www4(punto)savegco.antivir(punto)com

Oggi guardo le mie statistiche di blogger, e vedo che ben 16 refers, circa il 25%, vengono da uno strano sito:

 www4(punto)savegco.antivir(punto)com

(ho sostituito il punto (,) con la scritta "punto" per la sicurezza dei lettori.

Si sconsiglia di visitare il link riportato sopra e nel titolo a meno che non siate assolutamente sicuri di quello che state facendo

Incuriosito clicco sul link riportato dalle statistiche e subito mi appare un messaggio pop-up che dice circa "Il tuo computer è infetto da malware"


Non clicco su OK (la mascherina è di quella che si può fare solo OK) e poi chiudo Chrome utilizzando Gestione Attività, in quanto il browser non rispondeva più

Non credo di essere stato infettato.

Facendo una ricerca su Google questo sito è citato come "refers spam", ma secondo me è qualcosa di più, perché non si limita solo a procurarsi nuove visite attirando la curiosità dei webmaster che ha un blog su blogger ma cerca di installare qualcosa o almeno di far acquistare un falso antivirus (vedi a proposito la seguente voce di Wikipedia  http://en.wikipedia.org/wiki/Rogue_security_software )

Un secondo tentativo di aprire la pagina a cui fanno riferimento le statistiche del mio sito, fatta tramite una macchina virtuale sacrificabile, ha portato in un primo momento ad un redirect su di un sito di celebrità, ma quando ho provato a lasciare il sito ho ricevuto il solito messaggio relativo al mio pc infetto. Ho dato un primo ok, è partita una scansione finta e mi è stato chiesto di installare qualcosa per pulire il mio pc. Andando avanti con l'ok, Firefox ha salvato un file, scandsk,exe, che non ho eseguito ma ho fatto analizzare tramite il sito http://virusscan.jotti.org/it.

Il risultato è stato il seguente:



Ikarus: Trojan-Downloader.Win32.Genome

Emsisoft Anti-Malware: Trojan-Downloader.Win32.Genome!IK

ESET: Win32/Simda.C



Nessun malware per i seguenti antivirus:
ArcaVir, Frisk, F-Prot Antivirus, Avast! antivirus, Grisoft, AVG Anti-Virus, Avira AntiVir,
Softwin, BitDefender, Kaspersky Anti-Virus, Panda Antivirus, Quick Heal, Sophos 
Emsisoft Anti-Malware, VirusBlokAda, VBA32, VirusBuster

Potrebbe trattarsi di un falso positivo?

Ho provato ad eseguire questo file scaricato e non è successo niente, a parte una cosa stranissima, il file è scomparso! e nessuna traccia di azione nei file di log dell'antivirus

Ho come l'impressione che da quel sito malevolo venisse fatto scaricare un file innocuo, mentre nel frattempo venivano scaricati altri agenti malevoli, infatti qualcosa segnalato come Generic Trojan Downloader era stato cancellato dal Virusscan 8.8, che però non rilevava infezioni nel file di cui sopra.

Alla fine ho deciso di aver speso già abbastanza tempo su questa cosa, spengo la macchina virtuale e cancello il file vhd, che era già destinato ad essere cancellato (un file vhd contenente una versione di xp con ie6 per testare i siti web con questo vecchio browser)


Il mio consiglio?
Se nelle vostre statistiche di blogger vedete un link strano o proprio quello di cui si parla in questo articolo, ignoratelo! Veloce e sicuro!!

Vedi anche il mio post successivo sull'argomento:
http://sdoppiamocupido.blogspot.it/2012/04/non-cliccare-sul-refer-spam.html

(Riferimenti: http://stramaxon.blogspot.it/2012/04/beware-of-ww4dotsavegcoantivirdotcom.html)

Se ti è piaciuto quello che hai letto o l'hai trovato utile e/o interessante lascia un segno del tuo passaggio: condividi sui social o lascia un commento. Grazie!

0 commenti:

Posta un commento

Ringrazio tutti quelli che vorranno lasciare un commento o che seguiranno o sottoscriveranno il mio blog. Il linea di massima cercherò sempre di ricambiare.
Nel caso vogliate fare delle richieste o dei commenti off-topic ossia non collegati all'argomento dell'articolo, vi sarei grato se li postate sulla pagina Facebook del blog. Grazie!
Ho dovuto purtroppo attivare la moderazione a causa di alcuni commenti offensivi nei confronti di terzi.