[NEWS] Un banner infetto nel sito Libero.it diffonde il ransomware della Polizia

[c.m.g]

23 gennaio 2013 – 12:00 am



La notizia arriva dalla società antivirus italiana TG Soft la quale informa di aver rilevato all’interno del noto portale Libero.it un banner appartenete al circuito Google Ads in grado di diffondere il tristemente noto ransomware della Polizia di Stato.

Da sabato 19 gennaio 2013 il sito di LIBERO . it è risultato infetto da virus/malware informatici.
Un banner pubblicitario del circuito Google Ads contenente uno script che infetta il computer con una variante di ZERO ACCESS e il Trojan.Win32.FakeGdF

Le pagine incriminate, dalle quali accedendovi è possibile incontrare il Banner infetto, allo stato sono state verificate essere le seguenti:
meteo.libero.it
notizie.libero.it

Accedendo ai domini di libero.it sopra indicati, vengono visualizzati diversi banner pubblicitari del circuito “ad.it.doubleclick.net”. Uno di questi banner è risultato infetto da uno script che diffonde sui computer i malware: Zero Access e Trojan.Win32.FakeGdF.

Le pagine del banner pubblicitario incriminato sono:

ad.it.doubleclick.net/adj/newshp.libero.it
ad.it.doubleclick.net/adj/meteo.libero.it
la quale visualizza la seguente pubblicità di Google Ads:

http://googleads.g.doubleclick.net/pagead/gcn_p3p_.xml …..

La pagina di Google Ads, contiene uno script che si collega al sito:

http://recormedia.com/adserve?ID=17950…..

La quale fa un redirect al sito infetto: hxxp://nyt??ta.info

Dal sito http://nytvata.info vengono scaricati Zero Access e il Trojan.Win32.FakeGdf (variante SKYPE.DAT):

21/01/2013 Trojan.Win32.FakeGdf.OX
21/01/2013 Trojan.Win32.FakeGdf.OY
21/01/2013 Trojan.Win32.FakeGdf.OZ

Segnaliamo che nuove varianti del Trojan.Win32.FakeGdF vengono diffuse ogni giorno modificate ad arte per non essere intercettati dagli AntiVirus proprio per continuare a perpetrare il più possibile il loro tentativo di truffa.

Quanto il computer accede alle pagine dove è visuliazzato il banner contenente lo script infetto il sul PC si diffonde l’infezione. Il PC viene bloccato dal Trojan.Win32.FakeGdF e infettato anche dal malware Zero Access.



Il C.R.A.M. (Centro Ricerche Anti Malware) di TG Soft ha analizzato anche questa nuova variante e ha reso disponibile una scheda di analisi tecnica visualizzabile dal link: Trojan.Win32.ZeroAccess.G

Per ulteriori approfondimento sul Trojan.Win32.FakeGdF:
Come difendersi dal Trojan.Win32.FakeGdF e dalle sue numerose varianti (Virus della Guardia di Finanza, della Polizia di Stato, della SIAE etc. etc.)







Fonte: Anti-Phishing Italia via C.R.A.M. Centro Ricerche Anti Malware by TG Soft

[FulValBot]

si sa già quali antivirus/antimalware bloccano l'infezione?

[c.m.g]

Quote:

Originariamente inviato da FulValBot

si sa già quali antivirus/antimalware bloccano l'infezione?

Sembra che antivir sia un po' "sorda". -.- Menomale che sto inviando "sample" a raffica alla casa antivirus per farli aggiungere al database delle firme virali.

[pcpassion]

Grazie c.m.g. per la notizia.
I sample li hai inviati solo ad Avira o anche a laboratori di altre softwarehouse ?

[c.m.g]

Quote:

Originariamente inviato da pcpassion

Grazie c.m.g. per la notizia.
I sample li hai inviati solo ad Avira o anche a laboratori di altre softwarehouse ?

Onestamente solo ad Avira ma, se me ne dovessero capitare altri, li spedirò un po' a tutte le case.

[FulValBot]

Quote:

Originariamente inviato da c.m.g

Sembra che antivir sia un po' "sorda". -.- Menomale che sto inviando "sample" a raffica alla casa antivirus per farli aggiungere al database delle firme virali.

te pareva...


avendo infostrada da un momento all'altro i miei me faranno qualche scherzetto -.-' tanto per cambiare mio fratello ogni giorno chiude sia avira che malwarebytes pro perché trova la scusa di chissà quali lag (ovviamente inesistenti -.-')

speriamo bene...

[@Fra88@]

ma sapete se libero ha confermato la cosa?

sto togliendo questo virus con una cadenza di 5-6 volte al giorno...e la maggior parte mi vengono a dire che " erano su libero"

e' una cosa molto grave che un portale del genere non si preoccupi di chiudere queste falle...

[c.m.g]

Quote:

Originariamente inviato da FulValBot

te pareva...


avendo infostrada da un momento all'altro i miei me faranno qualche scherzetto -.-' tanto per cambiare mio fratello ogni giorno chiude sia avira che malwarebytes pro perché trova la scusa di chissà quali lag (ovviamente inesistenti -.-')

speriamo bene...

Fatti una bella immagine con Acronis True Image e mettiti l'anima in pace.

[c.m.g]

Quote:

Originariamente inviato da @Fra88@

ma sapete se libero ha confermato la cosa?

sto togliendo questo virus con una cadenza di 5-6 volte al giorno...e la maggior parte mi vengono a dire che " erano su libero"

e' una cosa molto grave che un portale del genere non si preoccupi di chiudere queste falle...

A me con Opera non mi fa beccar nulla ed apro libero tutti i giorni.

[jumpjack]

Io me lo sono beccato cliccando su una pubblicita su facebook, che ha avviato una (presumo falsa) installazione di acrobat reader XI.

[c.m.g]

Quote:

Originariamente inviato da jumpjack

Io me lo sono beccato cliccando su una pubblicita su facebook, che ha avviato una (presumo falsa) installazione di acrobat reader XI.

E' proprio una piaga sto virus -.-

[FulValBot]

mah... da me ancora non s'è mai fatto vivo...

[c.m.g]

Quote:

Originariamente inviato da FulValBot

mah... da me ancora non s'è mai fatto vivo...

Nemmeno io l'ho mai preso, ma ci sono un sacco di amici e clienti che portano pc infetti da questo virus...

[FulValBot]

evidentemente (come troppi altri) non hanno ancora capito (nonostante gli anni e le volte in cui lo si è già stradetto miliardi di volte...) che i sistemi vanno tenuti costantemente aggiornati...

e so che a molti de sta cosa non gliene può fregà de meno -.-' tanto ce sta sempre er fesso che deve farlo al posto loro...

[jumpjack]

Quote:

Originariamente inviato da FulValBot

evidentemente (come troppi altri) non hanno ancora capito (nonostante gli anni e le volte in cui lo si è già stradetto miliardi di volte...) che i sistemi vanno tenuti costantemente aggiornati...

Il mio sistema si aggiorna automaticamente ogni volta che si connette a internet... come TUTTI i sistemi.
Ma questo virus è famoso per NON essere riconosciuto come virus da molti antivirus, perchè non fa niente, se non mettersi a tutto schermo e in primo piano.