Attenti a www4(punto)savegco.antivir(punto)com

Oggi guardo le mie statistiche di blogger, e vedo che ben 16 refers, circa il 25%, vengono da uno strano sito:

 www4(punto)savegco.antivir(punto)com

(ho sostituito il punto (,) con la scritta "punto" per la sicurezza dei lettori.

Si sconsiglia di visitare il link riportato sopra e nel titolo a meno che non siate assolutamente sicuri di quello che state facendo

Incuriosito clicco sul link riportato dalle statistiche e subito mi appare un messaggio pop-up che dice circa "Il tuo computer è infetto da malware"


Non clicco su OK (la mascherina è di quella che si può fare solo OK) e poi chiudo Chrome utilizzando Gestione Attività, in quanto il browser non rispondeva più

Non credo di essere stato infettato.

Facendo una ricerca su Google questo sito è citato come "refers spam", ma secondo me è qualcosa di più, perché non si limita solo a procurarsi nuove visite attirando la curiosità dei webmaster che ha un blog su blogger ma cerca di installare qualcosa o almeno di far acquistare un falso antivirus (vedi a proposito la seguente voce di Wikipedia  http://en.wikipedia.org/wiki/Rogue_security_software )

Un secondo tentativo di aprire la pagina a cui fanno riferimento le statistiche del mio sito, fatta tramite una macchina virtuale sacrificabile, ha portato in un primo momento ad un redirect su di un sito di celebrità, ma quando ho provato a lasciare il sito ho ricevuto il solito messaggio relativo al mio pc infetto. Ho dato un primo ok, è partita una scansione finta e mi è stato chiesto di installare qualcosa per pulire il mio pc. Andando avanti con l'ok, Firefox ha salvato un file, scandsk,exe, che non ho eseguito ma ho fatto analizzare tramite il sito http://virusscan.jotti.org/it.

Il risultato è stato il seguente:



Ikarus: Trojan-Downloader.Win32.Genome

Emsisoft Anti-Malware: Trojan-Downloader.Win32.Genome!IK

ESET: Win32/Simda.C



Nessun malware per i seguenti antivirus:
ArcaVir, Frisk, F-Prot Antivirus, Avast! antivirus, Grisoft, AVG Anti-Virus, Avira AntiVir,
Softwin, BitDefender, Kaspersky Anti-Virus, Panda Antivirus, Quick Heal, Sophos 
Emsisoft Anti-Malware, VirusBlokAda, VBA32, VirusBuster

Potrebbe trattarsi di un falso positivo?

Ho provato ad eseguire questo file scaricato e non è successo niente, a parte una cosa stranissima, il file è scomparso! e nessuna traccia di azione nei file di log dell'antivirus

Ho come l'impressione che da quel sito malevolo venisse fatto scaricare un file innocuo, mentre nel frattempo venivano scaricati altri agenti malevoli, infatti qualcosa segnalato come Generic Trojan Downloader era stato cancellato dal Virusscan 8.8, che però non rilevava infezioni nel file di cui sopra.

Alla fine ho deciso di aver speso già abbastanza tempo su questa cosa, spengo la macchina virtuale e cancello il file vhd, che era già destinato ad essere cancellato (un file vhd contenente una versione di xp con ie6 per testare i siti web con questo vecchio browser)


Il mio consiglio?
Se nelle vostre statistiche di blogger vedete un link strano o proprio quello di cui si parla in questo articolo, ignoratelo! Veloce e sicuro!!

Vedi anche il mio post successivo sull'argomento:
http://sdoppiamocupido.blogspot.it/2012/04/non-cliccare-sul-refer-spam.html

(Riferimenti: http://stramaxon.blogspot.it/2012/04/beware-of-ww4dotsavegcoantivirdotcom.html)

Commenti

Post popolari in questo blog