Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/occhio-a-strongpity-il-malware-che-si-insidia-in-winrar-e-truecrypt_65078.html

Un pericoloso malware si cela su alcuni programmi di installazione di software legittimi scaricati da siti non legittimi

Click sul link per visualizzare la notizia.

Insidia? Insedia..

Una cosa non mi è chiara: siccome non ricordo quando ho installato winrar, come faccio a sapere se ho installato una versione infetta?
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.

Una cosa non mi è chiara: siccome non ricordo quando ho installato winrar, come faccio a sapere se ho installato una versione infetta?
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.

"Adesso eliminati, i link di download di questi portali (ad esempio ralrab.com su cui veniva effettuato il redirect da winrar.it) conducevano all'installazione del software malevolo con conseguente infezione del computer."

:eek: :D

Una cosa non mi è chiara: siccome non ricordo quando ho installato winrar, come faccio a sapere se ho installato una versione infetta?
Il mio pc non ha comportamenti strani, ma nel dubbio l'ho disinstallato e reinstallato dal sito winrar.it.

Se si installa dal sito ufficiale (raRlab.com invece di raLrab.com) non c'e' nessun problema. ;)

Il distributore belga reinderizzava al sito creato appositamente, quello italiano possedeva direttamente la copia infetta.

To trap victims, the attackers built fraudulent websites. In one instance, they transposed two letters in a domain name to fool customers into thinking it was a legitimate installer site for WinRAR software. They then placed a prominent link to this malicious domain on a WinRAR distributor site in Belgium in order to lead unsuspecting users to their poisoned installer. Kaspersky Lab first detected a successful redirection on May 28th, 2016.

At almost the same time, on May 24th, Kaspersky Lab began to spot activity on an Italian WinRAR distributor site. In this instance, however, users were not redirected to a fraudulent website, but were served the malicious StrongPity installer directly from the distributor site.

StrongPity also directed visitors from popular software-sharing sites to its trojanized TrueCrypt installers. This activity was still ongoing at the end of September.

The malicious links from the WinRAR distributor sites have now been removed, but at the end of September the fraudulent TrueCrypt site was still up.
http://usa.kaspersky.com/about-us/press-center/press-releases/2016/Kaspersky_Lab_Reveals_Advanced_Persistent_Threat_StrongPity

Se si installa dal sito ufficiale (raRlab.com invece di raLrab.com) non c'e' nessun problema. ;)

La mia domanda era un'altra.

Dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no perchè è stato hackerato sostituendo direttamente il file sul server per il download diretto.

"Adesso eliminati, i link di download di questi portali (ad esempio ralrab.com su cui veniva effettuato il redirect da winrar.it) conducevano all'installazione del software malevolo con conseguente infezione del computer."

:eek: :D

Se si scaricava dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no.

Penso che la risposta sia "dipende".
Visto che utilizzo da tempo winrar, ho sempre aggiornato le varie versioni scaricandolo dal sito italiano. L'ultima versione 5.40 che ho salvato sul mio hdd (risalente al 18/09/2016, sia 64bit che 32bit) corrisponde esattamente a quella presente attualmente sul sito, ha lo stesso md5 e sha1.
Il discorso ovviamente cambia se si è in possesso di una versione più vecchia ed infetta (non credo che il gruppo abbia avuto la prontezza di cambiare la versione 5.40 non appena uscita), le varie release in inglese sono datate:
- la 5.40 il 16.08.2016 preceduta da quattro beta;
- la 5.31 il 04.02.2016 preceduta da una beta;
- la 5.30 il 24.11.2015 preceduta da sei beta;
- la 5.21 il 15.02.2015 preceduta da due beta;
- la 5.20 uscita il 02.12.2014 e direi che si ci possa fermare qui.

Collegando il tutto all'analisi condotta da kaspersky risalente a maggio, molto probabilmente le versioni infette sicuramente riguardano la 5.30/5.31 e le varie beta della 5.40.

OK, ma ad oggi, se qualcuno vuole togliersi il dubbio, ha modo di verificare se il proprio PC è affetto da StrongPity?

Io ho KIS 2017 installato, dite che sia in grado di dirmi se il PC è stato compromesso?

Se si scaricava dal sito italiano non c'era modo di capire se si stava scaricando il file infetto o no.

ok, stavo scherzando, era solo una battuta vista la news :D

io comunque consiglierei sempre di andare alla fonte originale dei softwares, al sito ufficiale, perchè quelli italiani possono sempre essere gestiti alla meno peggio da chi mira a far soldi e non capisce un'acca di sicurezza informatica.

se cerchi un software vai sempre sul sito ufficiale di chi lo produce. Non è detto che tu sia al sicuro al 100% nemmeno lì, ma almeno non rischi di abbassare inutilmente la percentuale.

Penso che la risposta sia "dipende".
Visto che utilizzo da tempo winrar, ho sempre aggiornato le varie versioni scaricandolo dal sito italiano. L'ultima versione 5.40 che ho salvato sul mio hdd (risalente al 18/09/2016, sia 64bit che 32bit) corrisponde esattamente a quella presente attualmente sul sito, ha lo stesso md5 e sha1.
Il discorso ovviamente cambia se si è in possesso di una versione più vecchia ed infetta (non credo che il gruppo abbia avuto la prontezza di cambiare la versione 5.40 non appena uscita), le varie release in inglese sono datate:
- la 5.40 il 16.08.2016 preceduta da quattro beta;
- la 5.31 il 04.02.2016 preceduta da una beta;
- la 5.30 il 24.11.2015 preceduta da sei beta;
- la 5.21 il 15.02.2015 preceduta da due beta;
- la 5.20 uscita il 02.12.2014 e direi che si ci possa fermare qui.

Collegando il tutto all'analisi condotta da kaspersky risalente a maggio, molto probabilmente le versioni infette sicuramente riguardano la 5.30/5.31 e le varie beta della 5.40.

Non capisco che bisogno ci sia di rischiare aggiornamenti di dubbia utilità su un programma che svolge fin dall'origine perfettamente il suo compito.
Io manco so che versioni ho di winrar, scaricate ed installate dalla notte dei tempi, e mi fanno tutto quel che devono; anzi vi dirò che io conservo una selezione di tutte le versioni passate stratestate e perfettamente funzionanti di qualunque SW, e quando per qualche motivo devo reinstallare, uso quelle e non vado a cercarmi problemi inutili; se poi ho tempo magari su un sistema di prova faccio le mie verifiche su SW più aggiornato, ma è un di più non necessario, se no nel caso in cui la nuova versione contenga nuove funzioni di cui ho veramente bisogno.

Non capisco che bisogno ci sia di rischiare aggiornamenti di dubbia utilità su un programma che svolge fin dall'origine perfettamente il suo compito.
Io manco so che versioni ho di winrar, scaricate ed installate dalla notte dei tempi, e mi fanno tutto quel che devono; anzi vi dirò che io conservo una selezione di tutte le versioni passate stratestate e perfettamente funzionanti di qualunque SW, e quando per qualche motivo devo reinstallare, uso quelle e non vado a cercarmi problemi inutili; se poi ho tempo magari su un sistema di prova faccio le mie verifiche su SW più aggiornato, ma è un di più non necessario, se no nel caso in cui la nuova versione contenga nuove funzioni di cui ho veramente bisogno.

io sinceramente non tengo proprio più nulla di archiviato.

decenni fa avevo il mio archivio di floppy disks con tutti i softwares che mi erano passati per le mani, ma oggi sinceramente è del tutto inutile.

anche fino a pochi anni fa tenevo in apposite cartelle sull'HD i vari setup dei softwares che usavo, e anche questo è ormai inutile.

oggi tutto quello che devi fare quando vuoi installare un software è andare sul sito del produttore e scaricartelo.

che senso ha tenersi il setup della versione che avevi scaricato uno o più anni fa ? E perchè installare quella se nel frattempo ne hanno rilasciate altre 50 con bug fix, patches di sicurezza e futures varie aggiunte ? Senza considerare poi i problemi di compatibilità che potresti avere dopo gli aggiornamenti dell'OS. O non aggiorni più nemmeno quello ? Insomma il tuo discorso va bene (per modo di dire) se sei rimasto ad un Windows95 e continui ad installarci i softwares di allora archiviati su un FD, fregandotene altamente di bugs e problemi di sicurezza.

alla fine il tuo discorso può ritorcertisi contro, per non avere problemi di sicurezza, come quelli di questa news, non aggiorni, ma non aggiornandoti è molto probabile che tu ti tenga sul tuo sistema delle versioni totalmente insicure per varie falle scoperte nel tempo e corrette nelle versioni successive.

Penso che la risposta sia "dipende".
Visto che utilizzo da tempo winrar, ho sempre aggiornato le varie versioni scaricandolo dal sito italiano. L'ultima versione 5.40 che ho salvato sul mio hdd (risalente al 18/09/2016, sia 64bit che 32bit) corrisponde esattamente a quella presente attualmente sul sito, ha lo stesso md5 e sha1.
Il discorso ovviamente cambia se si è in possesso di una versione più vecchia ed infetta (non credo che il gruppo abbia avuto la prontezza di cambiare la versione 5.40 non appena uscita), le varie release in inglese sono datate:
- la 5.40 il 16.08.2016 preceduta da quattro beta;
- la 5.31 il 04.02.2016 preceduta da una beta;
- la 5.30 il 24.11.2015 preceduta da sei beta;
- la 5.21 il 15.02.2015 preceduta da due beta;
- la 5.20 uscita il 02.12.2014 e direi che si ci possa fermare qui.

Collegando il tutto all'analisi condotta da kaspersky risalente a maggio, molto probabilmente le versioni infette sicuramente riguardano la 5.30/5.31 e le varie beta della 5.40.

E' molto importante l'aiuto di tutti!!
Cerchiamo di risalire al range temporale in cui è stato presente sul sito ufficiale winrar.it l'exe infetto.

Le ultime copie meno recenti che ho sono:

- la versione WinRAR-x64-540b4it scaricata l'11/08/2016
Questa versione è correttamente signata da win.rar gmbh e dallo scan di VirusTotal non presenta alcuna infezione.

- la versione WinRAR-x64-540b2it scaricata il 23/06/2016
Questa versione NON è signata ma dallo scan di VirusTotal non presenta alcuna infezione.

Da una prima analisi e leggendo il report di kaspersky la versione corrotta sembra essere la 5.31 che era online sul sito ufficiale italiano nell'intorno del 24/05/2016, quindi quasi tutta la seconda metà del mese di Maggio.
Come dimostra anche un post datato 30/05/2016 di un utente su di un altro forum dove credevano si trattasse di un falso positivo, invece... :
_http://forum.html.it/forum/showthread.php?threadid=2939520

A questo punto diventa complesso anche per l'utente "esperto" non cadere in trappola visto che i siti "ufficiali" possono contenere installer con trojan.

Ora io ho sempre scaricato winrar da rarlab.com e quindi sono tranquillo.

Non ricordo dove ho scaricato truecrypt...

e non ho capito come rimuovere o controllare se sono infetto da Strongpity... Ho sempre avuto avast internet security (e non nego di aver fatto girare anche altri antivirus in questi mesi) ma mai trovato nulla di strano...

Aspetto news di qualche utente più informato di me...

Non capisco che bisogno ci sia di rischiare aggiornamenti di dubbia utilità su un programma che svolge fin dall'origine perfettamente il suo compito.
Io manco so che versioni ho di winrar, scaricate ed installate dalla notte dei tempi, e mi fanno tutto quel che devono; anzi vi dirò che io conservo una selezione di tutte le versioni passate stratestate e perfettamente funzionanti di qualunque SW, e quando per qualche motivo devo reinstallare, uso quelle e non vado a cercarmi problemi inutili; se poi ho tempo magari su un sistema di prova faccio le mie verifiche su SW più aggiornato, ma è un di più non necessario, se no nel caso in cui la nuova versione contenga nuove funzioni di cui ho veramente bisogno.
Il senso ce l'ha ed è relativo ai miglioramenti generali e risoluzione dei bug oltre a nuove funzioni http://www.rarlab.com/rarnew.htm

io sinceramente non tengo proprio più nulla di archiviato.

decenni fa avevo il mio archivio di floppy disks con tutti i softwares che mi erano passati per le mani, ma oggi sinceramente è del tutto inutile.

anche fino a pochi anni fa tenevo in apposite cartelle sull'HD i vari setup dei softwares che usavo, e anche questo è ormai inutile.

oggi tutto quello che devi fare quando vuoi installare un software è andare sul sito del produttore e scaricartelo.

Dipende dal software, se ad esempio dovessi metterti lì ad aspettare a scaricare tutta la suite adobe che pesa una decina di GB sarebbe più utile averla già offline (ovviamente parliamo sempre di suite aggiornate una volta all'anno e che non pesano 3MB).
E' molto importante l'aiuto di tutti!!
Cerchiamo di risalire al range temporale in cui è stato presente sul sito ufficiale winrar.it l'exe infetto.

Le ultime copie meno recenti che ho sono:

- la versione WinRAR-x64-540b4it scaricata l'11/08/2016
Questa versione è correttamente signata da win.rar gmbh e dallo scan di VirusTotal non presenta alcuna infezione.

- la versione WinRAR-x64-540b2it scaricata il 23/06/2016
Questa versione NON è signata ma dallo scan di VirusTotal non presenta alcuna infezione.

Da una prima analisi e leggendo il report di kaspersky la versione corrotta sembra essere la 5.31 che era online sul sito ufficiale italiano nell'intorno del 24/05/2016, quindi quasi tutta la seconda metà del mese di Maggio.
Come dimostra anche un post datato 30/05/2016 di un utente su di un altro forum dove credevano si trattasse di un falso positivo, invece... :
_http://forum.html.it/forum/showthread.php?threadid=2939520
Buono a sapersi. Comunque ricontrollando la versione in mio possesso e quella presente sui server ufficiali, solamente baidu trova qualcosa su virustotal (nella versione italiana oltre baidu, rileva qualcosa anche yandex).
Comunque kaspersky (https://securelist.com/blog/research/76147/on-the-strongpity-waterhole-attacks-targeting-italian-and-belgian-encryption-users/) fa direttamente riferimento alla versione 5.31 come infetta, trovata sul sito appositamente creato ed i file sono datati 1 giugno 2016 (ultima modifica). Per la versione italiana si parla sempre della 5.31 ma contando il fatto che l'installer contraffatto fa riferimento a fine maggio molto probabilmente dalla data di uscita ufficiale della 5.31 (4/2/2016) a maggio 2016 gli installer non erano infetti. Comunque se si prova a scaricare una delle versioni infette verrete bloccati dal browser (quanto meno da firefox) e se avete un av decente vi segnala l'url malevolo.
Discorso diverso per truecrypt, la versione infetta si trovava fino a qualche giorno fa.
A questo punto diventa complesso anche per l'utente "esperto" non cadere in trappola visto che i siti "ufficiali" possono contenere installer con trojan.

Ora io ho sempre scaricato winrar da rarlab.com e quindi sono tranquillo.

Non ricordo dove ho scaricato truecrypt...

e non ho capito come rimuovere o controllare se sono infetto da Strongpity... Ho sempre avuto avast internet security (e non nego di aver fatto girare anche altri antivirus in questi mesi) ma mai trovato nulla di strano...

Aspetto news di qualche utente più informato di me...
Strongpity secondo kaspersky lascia sul disco alcuni file

%temp%\procexp.exe
%temp%\sega\
nvvscv.exe
prst.cab
prst.dll
wndplyr.exe
wrlck.cab
wrlck.dll

oltre ad alcuni software

putty.exe (a windows SSH client)
filezilla.exe (supports ftps uploads)
winscp.exe (a windows secure copy application, providing encrypted and secure file transfer)
mstsc.exe (Windows Remote Desktop client, providing an encrypted connection to remote systems)
mRemoteNG.exe (a remote connections manager supporting SSH, RDP, and other encrypted protocols)

e keylogger vari.

Per la versione italiana si parla sempre della 5.31 ma contando il fatto che l'installer contraffatto fa riferimento a fine maggio molto probabilmente dalla data di uscita ufficiale della 5.31 (4/2/2016) a maggio 2016 gli installer non erano infetti.


Il mese di Maggio è stato proprio il mese dell'infezione sia per il redirect del sito belga sia per l'exe corrotto del sito ufficiale italiano!
Quoto parte del comunicato kaspersky:

StrongPity trojanized installers:
hxxps://www.winrar[.]it/prelievo/WinRAR-x64-531it.exe
hxxps://www.winrar[.]it/prelievo/WRar531it.exe
The site started serving these executables a couple of days earlier on 5/24, where a large majority of Italian visitors where affected.

A riprova questa mattina ho preso un vecchio pc dove installai la 5.31 il 21/04/2016 (non ho più l'installer) la macchina ha a bordo Nod32 V.9 che non rilevó (nel log non trovó nessuna minaccia nel mese di Aprile) e non rileva attualmente nulla sul sistema dopo uno scan completo.

Collegando il tutto all'analisi condotta da kaspersky risalente a maggio, molto probabilmente le versioni infette sicuramente riguardano la 5.30/5.31 e le varie beta della 5.40.

Forse le beta sono sicure, io ho la 5.40 beta 2(3/7/16) e non trovo sul disco nessuno dei file/cartella sotto riportati.

%temp%\procexp.exe
%temp%\sega\
nvvscv.exe
prst.cab
prst.dll
wndplyr.exe
wrlck.cab
wrlck.dll



Qualcuno che non usa nessun antivirus&Co. può battere un colpo? Come vi comportate in questi casi? Siete sempre sicuri di quello che scaricate?


Non ricordo dove ho scaricato truecrypt...


Scaricatelo da qui https://www.grc.com/misc/truecrypt/truecrypt.htm

Forse le beta sono sicure, io ho la 5.40 beta 2(3/7/16) e non trovo sul disco nessuno dei file/cartella sotto riportati.

%temp%\procexp.exe
%temp%\sega\
nvvscv.exe
prst.cab
prst.dll
wndplyr.exe
wrlck.cab
wrlck.dll



Qualcuno che non usa nessun antivirus&Co. può battere un colpo? Come vi comportate in questi casi? Siete sempre sicuri di quello che scaricate?





Scaricatelo da qui https://www.grc.com/misc/truecrypt/truecrypt.htm



Io questi file non li ho, quando ho installato questi software avevo sicuramente Avast internet 2016.
Purtroppo Truecrypt essendo dismesso non ricordo dove l'ho scaricato, e questa cosa mi manda nei pazzi...

Non saprei, dal sito contraffatto risultano le versioni 5.31 e poi una "wrar53b5.exe", potrebbe essere la 5.30 beta5?!
Comunque vedi se hai qualche file sospetto in giro, fai delle scansioni con hitmanpro, malwarebytes antimalware e magari anche l'antiransomware.

Per il resto kaspersky ha spiegato che si è avviato tutto a fine maggio, ma non ha specificato quando l'intrusione è scomparsa ed i file sono stati ripristinati (per la versione italiana, che poi riportino anche uno screenshot della pagina con la versione 5.40 sinceramente non so cosa pensare). Per il resto ho fatto l'unpacking dell'installer della 5.40 (la mia versione personale risalente a più di un mese fa, quella ufficiale da rarlab e quella del distributore locale), sembra tutto tranquillo (rispetto alle versioni 5.31, quelle infette dovrebbero pesare circa 700KB in più o almeno si capisce questo dal sito riportato).

Non saprei, dal sito contraffatto risultano le versioni 5.31 e poi una "wrar53b5.exe", potrebbe essere la 5.30 beta5?!
Comunque vedi se hai qualche file sospetto in giro, fai delle scansioni con hitmanpro, malwarebytes antimalware e magari anche l'antiransomware.

Per il resto kaspersky ha spiegato che si è avviato tutto a fine maggio, ma non ha specificato quando l'intrusione è scomparsa ed i file sono stati ripristinati (per la versione italiana, che poi riportino anche uno screenshot della pagina con la versione 5.40 sinceramente non so cosa pensare). Per il resto ho fatto l'unpacking dell'installer della 5.40 (la mia versione personale risalente a più di un mese fa, quella ufficiale da rarlab e quella del distributore locale), sembra tutto tranquillo (rispetto alle versioni 5.31, quelle infette dovrebbero pesare circa 700KB in più o almeno si capisce questo dal sito riportato).

Hitman pro : niente
Malwarebytes Anti-malware : niente
antiransomware cosa provo?

Bho :D

@DeMonViTo Puoi sempre confrontare gli installer se conservi il precedente.

Malwarebytes Anti-Ransomware: https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware-beta/


@Ryddyck Le scansioni non rilevano nulla di nulla, nemmeno un cookie. Dopo aver avuto rallentamenti con avira free su win10 sono passato a defender+malwarebytes premium a settembre 2015 sul pc che ho controllato. Gli altri pc che ancora devo controllare hanno avira free(tutti i win7) o kaspersky in versione di prova(niente crack ed affini). Speriamo bene.

@DeMonViTo Puoi sempre confrontare gli installer se conservi il precedente.

Malwarebytes Anti-Ransomware: https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware-beta/

Ok, dice che sono protetto ed è tutto ok (non ha funzione di scansione).

Purtroppo gli eseguibili non li ho, mi tocca rassegnarmi... comunque avast, hitman e Malwarebytes avrebbero dovuto dirmi qualcosa se fossi infetto...

mi rassegno :D

...


Dipende dal software, se ad esempio dovessi metterti lì ad aspettare a scaricare tutta la suite adobe che pesa una decina di GB sarebbe più utile averla già offline (ovviamente parliamo sempre di suite aggiornate una volta all'anno e che non pesano 3MB).

...



beh, si, ma dipende molto dalla tua banda disponibile e dalla frequenza delle installazioni.

io ad esempio potrei riscaricarmelo quell'unica volta all'anno che mi serve installarlo dopo una formattazione del pc, anche perchè sicuramente in un anno avranno effettuato vari aggiornamenti, quindi meglio il download, soprattutto con una velocità da fibra 100/20, alla velocità massima scarico circa 500MB al minuto. :D

Sfortunatamente non tutti hanno la fibra e poi mettendo caso che il server sia carico difficilmente si scarica a tutta banda.

L'antiransomware da solo protezione ma non scansiona, se vuoi scansionare prova con l'antirootkit sempre della malwarebytes. Comunque se non hai trovato nulla difficilmente sei infetto, mi viene in mente comunque anche roguekiller per i ransomware, rkill e anche adwcleaner se lo ritieni opportuno fare qualche scansione. Se proprio vuoi perdere tempo puoi fare le scansioni con i vari rescue disk dei vari produttori antivirus. Ti rimando a questa discussione http://www.hwupgrade.it/forum/showthread.php?t=2763407

Ciao.

Il problema è stato molto contenuto ed è avvenuto mesi fa:
http://www.winrar.it/phpBB3/viewtopic.php?f=2&p=1524#p1524

Ciao.

Il problema è stato molto contenuto ed è avvenuto mesi fa:
http://www.winrar.it/phpBB3/viewtopic.php?f=2&p=1524#p1524

Dopo aver letto Andrea Winrar con 1 solo messaggio inviato e una pagina PHP devo ammettere che mi cagavo sotto ad aprire il tuo link :D

cmq grazie della precisazione anche da queste parti

Ciao.

Il problema è stato molto contenuto ed è avvenuto mesi fa:
http://www.winrar.it/phpBB3/viewtopic.php?f=2&p=1524#p1524

Grazie per i chiarimenti anche da parte mia. :)

Ciao,

in ufficio mi è capitato di dover controllare alcuni pc su cui vi erano versioni di winrar scaricate in quel periodo, come appunto la 5.30_it. Essendo ancora presenti gli installer nella cartella dei downloads, oltre all'ausilio degli av (estraendo fisicamente i dischi) ho trovato sul web (e su virustotal) conferme che queste 2 versioni sono pulite, perciò è stato semplice togliersi ogni dubbio.

Nome del file: wrar530it.exe
SHA256: 7f23e6b8b3320bdf4a5b48583310844f97448e3ff10251b31ae25c5daeadb32f

Nome del file: wrar531it.exe
SHA256: 7eab5a1f02199f9bf7156d7e2f2a21e89c777a4e50e921562bed3429eb86d8ee

La cosa curiosa è che l'ultima versione, la 5.40, è etichettata da virustotal come a rischio..anche se sembrano essere 2 falsi positivi.
O meglio, "baidu" lo segnala come Win32.Trojan.WisdomEyes.16070401.9500.9996 mentre "Yandex" come un generico riskware.