ESET individua su download.com tre programmi contenenti malware

ESET individua su download.com tre programmi contenenti malware

La società di sicurezza ha individuato tre applicazioni compromesse sul popolare sito di download. Le applicazioni sono state rimosse e Eset spiega come fare nel caso siano state scaricate

di pubblicata il , alle 08:21 nel canale Sicurezza
ESET
 

I ricercatori della società di sicurezza informatica ESET hanno individuato tre applicazioni con funzionalità trojan ospitate sul sito download.cnet.com, uno dei portali più conosciuti per l'hosting di utility e e software di vario tipo. I ricercatori sono venuti a conoscenza del problema dopo la segnalazione di un utente.

La prima applicazione individuata è Win32 Disk Imager, presente su download.com sin dal 2 maggio 2016. All'interno di questa applicazione si nasconde una variante di MSIL/TrojanDropper.Agent.DQJ. Il programma è stato scaricato 311 volte solo nell'ultima settimana e 4500 volte in totale dalla sua presenza su Cnet. Una seconda applicazione compromessa è CodeBlocks, un ambiente di sviluppo integrato usato da molti sviluppatori C/C++. Infine la terza applicazione è MinGW-w64 un porting per Windows del compilatore GCC, che però contiene diversi elementi dannosi tra cui uno strumento per sottrarre bitcoin e un virus.

Cnet ha rimosso queste applicazioni dal proprio sito, dopo la notifica di ESET. La società di sicurezza ha pubblicato un approfondimento tecnico sul proprio blog che spiega il meccanismo di funzionamento dei tre malware, e ha indicato i passi da compiere per coloro i quali abbiano scaricato i software e siano stati loro malgrado infettati. Ve li riportiamo di seguito:

-Eliminare i programmi di installazione scaricati chiamati win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDDDDD1717566) risp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) dalla cartella di download

-Rimuovere gli exe nella cartella% appdata% \ dibifu_8 \ (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)

-Rimuovere y3_temp008.exe da% temp% \ folder (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, risp. C758F832935A30A865274AA683957B8CBC65DFDE)

-Eliminare il valore del registro ScdBcd dalla chiave HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Maggiori informazioni sono disponibili a questo indirizzo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Riccardo8229 Marzo 2018, 09:23 #1
vabeh ma che bastardi prorio code blocks è uno dei miei ide preferiti!

canislupus29 Marzo 2018, 11:39 #2
Ottimo... sono mesi che usi Win32 DiskImager e ovviamente il mio AV non ha mai rilevato nulla di anomalo.
giovanbattista29 Marzo 2018, 11:52 #3
Originariamente inviato da: canislupus
Ottimo... sono mesi che usi Win32 DiskImager e ovviamente il mio AV non ha mai rilevato nulla di anomalo.


ciao.....spero di non dire una cazzata, ma dipende da dove arrivano, non hanno detto che tutte le versioni sono infette, ma quelle che arrivano da downl.cnet.
quindi può esere che la tua sia pulita, neppure io faccio quasi mai il controllo hash, ma cerco sempre il sito madre che rilascia l'applicativo x scaricarlo, quello si
nickname8829 Marzo 2018, 11:56 #4
Originariamente inviato da: canislupus
Ottimo... sono mesi che usi Win32 DiskImager e ovviamente il mio AV non ha mai rilevato nulla di anomalo.

Che AV è ?
canislupus29 Marzo 2018, 14:47 #5
Kaspersky... comunque credo che sia come ha detto giovanbattista.
All'epoca lo avevo scaricato da sourceforge.
Quindi non credo fosse infetto.
biffuz29 Marzo 2018, 18:43 #6
Così imparate a scaricare da questi portali che vi infarciscono con i loro adware invece che dai siti originali. Chi usa software come quello poi dovrebbe vergognarsi.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^