ESET individua su download.com tre programmi contenenti malware
La società di sicurezza ha individuato tre applicazioni compromesse sul popolare sito di download. Le applicazioni sono state rimosse e Eset spiega come fare nel caso siano state scaricate
di Andrea Bai pubblicata il 29 Marzo 2018, alle 08:21 nel canale SicurezzaESET
I ricercatori della società di sicurezza informatica ESET hanno individuato tre applicazioni con funzionalità trojan ospitate sul sito download.cnet.com, uno dei portali più conosciuti per l'hosting di utility e e software di vario tipo. I ricercatori sono venuti a conoscenza del problema dopo la segnalazione di un utente.
La prima applicazione individuata è Win32 Disk Imager, presente su download.com sin dal 2 maggio 2016. All'interno di questa applicazione si nasconde una variante di MSIL/TrojanDropper.Agent.DQJ. Il programma è stato scaricato 311 volte solo nell'ultima settimana e 4500 volte in totale dalla sua presenza su Cnet. Una seconda applicazione compromessa è CodeBlocks, un ambiente di sviluppo integrato usato da molti sviluppatori C/C++. Infine la terza applicazione è MinGW-w64 un porting per Windows del compilatore GCC, che però contiene diversi elementi dannosi tra cui uno strumento per sottrarre bitcoin e un virus.
Cnet ha rimosso queste applicazioni dal proprio sito, dopo la notifica di ESET. La società di sicurezza ha pubblicato un approfondimento tecnico sul proprio blog che spiega il meccanismo di funzionamento dei tre malware, e ha indicato i passi da compiere per coloro i quali abbiano scaricato i software e siano stati loro malgrado infettati. Ve li riportiamo di seguito:
-Eliminare i programmi di installazione scaricati chiamati win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDDDDD1717566) risp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) dalla cartella di download
-Rimuovere gli exe nella cartella% appdata% \ dibifu_8 \ (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)
-Rimuovere y3_temp008.exe da% temp% \ folder (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, risp. C758F832935A30A865274AA683957B8CBC65DFDE)
-Eliminare il valore del registro ScdBcd dalla chiave HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Maggiori informazioni sono disponibili a questo indirizzo.
Recensione vivo X300 Pro: è ancora lui il re della fotografia mobile, peccato per la batteria
Lenovo Legion Go 2: Ryzen Z2 Extreme e OLED 8,8'' per spingere gli handheld gaming PC al massimo
AWS re:Invent 2025: inizia l'era dell'AI-as-a-Service con al centro gli agenti
Tory Bruno ha lasciato la società di razzi spaziali ULA dopo quasi 12 anni per ''un'altra opportunità''
L'immagine di Natale del telescopio spaziale James Webb è lo scintillante ammasso Westerlund 2
STMicroelectronics e SpaceX proseguono la collaborazione per la connettività di Starlink
Numeri da record, Xiaomi distribuisce oltre 14 milioni di dollari di bonus ai concessionari
BitLocker accelerato via hardware: Microsoft raddoppia le prestazioni su Windows 11 
Blue Origin prosegue lo sviluppo dei lander lunari Blue Moon MK1 e Blue Moon MK2
Moore Threads: nuove GPU 15 volte più potenti e supporto DirectX 12 Ultimate
Steam diventa esclusivamente 64-bit: Valve chiude l'era del 32-bit sulla piattaforma
La Corte Suprema restituisce a Elon Musk il premio da 55 miliardi, e lo condanna a pagare 1 dollaro
X lancia Creator Studio su mobile: nuovi strumenti per i creatori di contenuti
Dieci anni fa SpaceX fece atterrare per la prima volta il primo stadio di un razzo spaziale Falcon 9
POCO M8 e M8 Pro arriveranno nel 2026: ecco tutto quello che sappiamo sui due modelli
Caos Formula 1: il motore Mercedes è irregolare ma la FIA vuole autorizzarlo fino al 2027
Tariffe nazionali per le chiamate e gli SMS fra paesi UE: cosa cambia con il nuovo atto della Commissione
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infociao.....spero di non dire una cazzata, ma dipende da dove arrivano, non hanno detto che tutte le versioni sono infette, ma quelle che arrivano da downl.cnet.
quindi può esere che la tua sia pulita, neppure io faccio quasi mai il controllo hash, ma cerco sempre il sito madre che rilascia l'applicativo x scaricarlo, quello si
Che AV è ?
All'epoca lo avevo scaricato da sourceforge.
Quindi non credo fosse infetto.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".