c.m.g
23-01-2013, 10:19
23 gennaio 2013 – 12:00 am
http://www.anti-phishing.it/wp-content/uploads/2013/01/libero_malware.jpg (http://www.anti-phishing.it/sicurezza-informatica/2013/01/23/3273/attachment/libero_malware)
La notizia arriva dalla società antivirus italiana TG Soft la quale informa di aver rilevato all’interno del noto portale Libero.it un banner appartenete al circuito Google Ads in grado di diffondere il tristemente noto ransomware della Polizia di Stato.
Da sabato 19 gennaio 2013 il sito di LIBERO . it è risultato infetto da virus/malware informatici.
Un banner pubblicitario del circuito Google Ads contenente uno script che infetta il computer con una variante di ZERO ACCESS e il Trojan.Win32.FakeGdF
Le pagine incriminate, dalle quali accedendovi è possibile incontrare il Banner infetto, allo stato sono state verificate essere le seguenti:
meteo.libero.it
notizie.libero.it
Accedendo ai domini di libero.it sopra indicati, vengono visualizzati diversi banner pubblicitari del circuito “ad.it.doubleclick.net”. Uno di questi banner è risultato infetto da uno script che diffonde sui computer i malware: Zero Access e Trojan.Win32.FakeGdF.
Le pagine del banner pubblicitario incriminato sono:
ad.it.doubleclick.net/adj/newshp.libero.it
ad.it.doubleclick.net/adj/meteo.libero.it
la quale visualizza la seguente pubblicità di Google Ads:
http://googleads.g.doubleclick.net/pagead/gcn_p3p_.xml …..
La pagina di Google Ads, contiene uno script che si collega al sito:
http://recormedia.com/adserve?ID=17950…..
La quale fa un redirect al sito infetto: hxxp://nyt??ta.info
Dal sito http://nytvata.info vengono scaricati Zero Access e il Trojan.Win32.FakeGdf (variante SKYPE.DAT):
21/01/2013 Trojan.Win32.FakeGdf.OX (http://www.tgsoft.it/italy/startup_scheda.asp?num=11868)
21/01/2013 Trojan.Win32.FakeGdf.OY (http://www.tgsoft.it/italy/startup_scheda.asp?num=11861)
21/01/2013 Trojan.Win32.FakeGdf.OZ (http://www.tgsoft.it/italy/startup_scheda.asp?num=11884)
Segnaliamo che nuove varianti del Trojan.Win32.FakeGdF vengono diffuse ogni giorno modificate ad arte per non essere intercettati dagli AntiVirus proprio per continuare a perpetrare il più possibile il loro tentativo di truffa.
Quanto il computer accede alle pagine dove è visuliazzato il banner contenente lo script infetto il sul PC si diffonde l’infezione. Il PC viene bloccato dal Trojan.Win32.FakeGdF e infettato anche dal malware Zero Access.
http://www.anti-phishing.it/wp-content/uploads/2013/01/polizia_di_stato_ran.jpg
Il C.R.A.M. (Centro Ricerche Anti Malware) di TG Soft ha analizzato anche questa nuova variante e ha reso disponibile una scheda di analisi tecnica visualizzabile dal link: Trojan.Win32.ZeroAccess.G (http://www.tgsoft.it/italy/startup_scheda.asp?num=11908)
Per ulteriori approfondimento sul Trojan.Win32.FakeGdF:
Come difendersi dal Trojan.Win32.FakeGdF e dalle sue numerose varianti (Virus della Guardia di Finanza, della Polizia di Stato, della SIAE etc. etc.) (http://www.tgsoft.it/italy/news_archivio.asp?id=507)
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/sicurezza-informatica/2013/01/23/3273#ixzz2Imw4N6zU) via C.R.A.M. Centro Ricerche Anti Malware by TG Soft (http://www.tgsoft.it/italy/cram.asp)
http://www.anti-phishing.it/wp-content/uploads/2013/01/libero_malware.jpg (http://www.anti-phishing.it/sicurezza-informatica/2013/01/23/3273/attachment/libero_malware)
La notizia arriva dalla società antivirus italiana TG Soft la quale informa di aver rilevato all’interno del noto portale Libero.it un banner appartenete al circuito Google Ads in grado di diffondere il tristemente noto ransomware della Polizia di Stato.
Da sabato 19 gennaio 2013 il sito di LIBERO . it è risultato infetto da virus/malware informatici.
Un banner pubblicitario del circuito Google Ads contenente uno script che infetta il computer con una variante di ZERO ACCESS e il Trojan.Win32.FakeGdF
Le pagine incriminate, dalle quali accedendovi è possibile incontrare il Banner infetto, allo stato sono state verificate essere le seguenti:
meteo.libero.it
notizie.libero.it
Accedendo ai domini di libero.it sopra indicati, vengono visualizzati diversi banner pubblicitari del circuito “ad.it.doubleclick.net”. Uno di questi banner è risultato infetto da uno script che diffonde sui computer i malware: Zero Access e Trojan.Win32.FakeGdF.
Le pagine del banner pubblicitario incriminato sono:
ad.it.doubleclick.net/adj/newshp.libero.it
ad.it.doubleclick.net/adj/meteo.libero.it
la quale visualizza la seguente pubblicità di Google Ads:
http://googleads.g.doubleclick.net/pagead/gcn_p3p_.xml …..
La pagina di Google Ads, contiene uno script che si collega al sito:
http://recormedia.com/adserve?ID=17950…..
La quale fa un redirect al sito infetto: hxxp://nyt??ta.info
Dal sito http://nytvata.info vengono scaricati Zero Access e il Trojan.Win32.FakeGdf (variante SKYPE.DAT):
21/01/2013 Trojan.Win32.FakeGdf.OX (http://www.tgsoft.it/italy/startup_scheda.asp?num=11868)
21/01/2013 Trojan.Win32.FakeGdf.OY (http://www.tgsoft.it/italy/startup_scheda.asp?num=11861)
21/01/2013 Trojan.Win32.FakeGdf.OZ (http://www.tgsoft.it/italy/startup_scheda.asp?num=11884)
Segnaliamo che nuove varianti del Trojan.Win32.FakeGdF vengono diffuse ogni giorno modificate ad arte per non essere intercettati dagli AntiVirus proprio per continuare a perpetrare il più possibile il loro tentativo di truffa.
Quanto il computer accede alle pagine dove è visuliazzato il banner contenente lo script infetto il sul PC si diffonde l’infezione. Il PC viene bloccato dal Trojan.Win32.FakeGdF e infettato anche dal malware Zero Access.
http://www.anti-phishing.it/wp-content/uploads/2013/01/polizia_di_stato_ran.jpg
Il C.R.A.M. (Centro Ricerche Anti Malware) di TG Soft ha analizzato anche questa nuova variante e ha reso disponibile una scheda di analisi tecnica visualizzabile dal link: Trojan.Win32.ZeroAccess.G (http://www.tgsoft.it/italy/startup_scheda.asp?num=11908)
Per ulteriori approfondimento sul Trojan.Win32.FakeGdF:
Come difendersi dal Trojan.Win32.FakeGdF e dalle sue numerose varianti (Virus della Guardia di Finanza, della Polizia di Stato, della SIAE etc. etc.) (http://www.tgsoft.it/italy/news_archivio.asp?id=507)
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/sicurezza-informatica/2013/01/23/3273#ixzz2Imw4N6zU) via C.R.A.M. Centro Ricerche Anti Malware by TG Soft (http://www.tgsoft.it/italy/cram.asp)