Cerca nel blog

2006/02/19

Comingsoon, la TV che ti infetta il PC

Questo articolo vi arriva grazie alle gentili donazioni di "papnik", "emilio59" e "andreaschie****". L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2006/03/20.

Sfoglio i canali della TV e capito su Coming Soon Television: un canale italiano di trailer cinematografici e informazioni sul mondo del cinema. Lo seguo spesso, è un bel canale, i suoi programmi appaiono anche in altre reti televisive.

Dopo una rassegna di anteprime cinematografiche, uno speaker invita a visitare il sito Comingsoon.it per scaricare i trailer del weekend nei vari formati, in modo da poterseli portare in giro con l'iPod e simili. Vado a vedere il sito, e qui arriva la sorpresa.

Il sito Comingsoon.it deposita un trojan sul computer dei visitatori. Me ne sono accorto perché visitandolo con il mio Mac e Firefox mi è comparsa la richiesta di salvare su disco un file eseguibile per Windows di nome 1054722.exe.

Ho inviato il file al controllo gratuito di Kaspersky, e risulta essere "infected by Trojan.Win32.Diamin.t".

Ho ripetuto l'esperimento con un altro Mac (a scanso di equivoci) e con un PC Windows. In tutti e tre i casi, lo stesso effetto: visitando il sito Comingsoon.it arriva questo tentativo di iniezione di un file che Kaspersky classifica come infetto.

Il file proviene da http://deposito.hostance.net, come potete vedere dalla finestra di dialogo in alto a sinistra (cliccatevi sopra per ingrandirla). Stranamente, visitando il sito deposito.hostance.net dal quale proviene il file infetto, si ottiene una schermata di test di Apache su Red Hat, come se si trattasse di un server mal (o non) configurato. Il dominio Hostance.net risulta intestato alla Carima Enterprises Limited, di Londra, nota fucina di dialer, come notato persino da Symantec.

L'enciclopedia di virus di Kaspersky al momento non contiene una descrizione di questo file infetto, ma soltanto una pagina segnaposto. Spero di sapere presto che cosa contiene questo file, ma è improbabile che sia qualcosa di buono.

Nel frattempo, ho contattato Comingsoon.it per segnalare il problema e chiedere chiarimenti.


Aggiornamento (2006/02/20 01:05). Secondo i miei test e le segnalazioni, da qualche ora il sito sembra aver smesso di iniettare il virus ai propri visitatori. Resta il problema di chi ha visitato il sito ed è stato infettato (anche per propria imprudenza), e di chi ha scelto di usare un'azienda sparadialer come la Carima all'interno del sito di Coming Soon Television.


Aggiornamento (2006/03/20). Ii 22 febbraio 2006, la redazione di Comingsoon.it mi ha scritto: "siamo stati avvertiti dal provider presso il quale alloggia il nostro server. Hanno provveduto loro stessi. Chiediamo scusa per eventuali disagi e grazie comunque per la segnalazione".

23 commenti:

Anonimo ha detto...

Molto probabilmente si tratta dello stesso dialer che ho individuato un po' di tempo fà. >>
http://www.pianetapc.it/view.php?id=495

Anonimo ha detto...

uhm... non è una bella cosa...

Anonimo ha detto...

Come anticipato dal mio precedente post, sembra che il malware sia sempre il medesimo. Infatti ho verificato che anche comcomingsoon.it si serve del servizio di statistiche specialstat che a sua volta attraverso vari siti e javascript tenta di installare il dialer. Anche in questo caso si passa attraverso un sito x69x e poi deposito.hostance

Anonimo ha detto...

Ho provato ad accedere al sito www.cominsoon.it subito dopo aver letto l'articolo, ma non è successo nulla.

Ho installato AVAST home edition aggiornao al 19/2/06, firefox 1.5.0.1, windows XP home sp2.

Anonimo ha detto...

Qui c'è la descrizione di diamin.DU in inglese: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=107610&sind=0

e qui in spagnolo: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=5735

il trojan/dialer ha anche alias Trojan.Win32.Diamin.m come detto da pandasoftware virus encyclopedia. spero ti possa essere utile, paolo.

Ciaoooo!!!

Anonimo ha detto...

sono sempre colui che ha segnalato il link della descrizione in spagnolo e in inglese di diamin.DU

Qui, comunque c'è una descrizione in tedesco: http://www.trojaner-info.de/news2/diamin-du-dialer-banker-coder.shtml

e, cosa più importante, volevo segnalare che con il mio Opera 8.51 su pc windows XP equipaggiato con kaspersky antivirus personal pro non compare nessun avviso di download del file nè tantomeno di kaspersky segnalante qualcosa di sospetto... bho!

Ciao!

Anonimo ha detto...

Azz... scusate, ma sono sempre io, l'anonimo: giuro che dopo questo post nn dico più nulla...

beh, qui http://www.sophos.com/virusinfo/analyses/dialdialcarm.html viene detto che il dialer Dial/DialCar-M, alias Trojan.Win32.Diamin.i o Dialer-267 o Dialer-573 ha le stesse funzioni (http://www.sophos.com/virusinfo/analyses/dialdialcarm.html#table4) di quello segnalato da paolo nella pagina di symantec

Ciao!

Anonimo ha detto...

Sulla mia MandrivaLinux 2006, né con Firefox né con konqueror succede niente (non avevo dubbi, grazie Tux ^_^). Per pura precauzione ho fatto una scansione con KlamAV e Chkrootkit e non è risultato niente.

Boh...

Anonimo ha detto...

idem per me. ci sono sndato ma niente...

Anonimo ha detto...

Se ne parla su

http://www.primadanoi.it/modules/news/article.php?storyid=188

http://www.zeusnews.it/index.php3?ar=stampa&cod=4325

http://www.salvatore-aranzulla.com/?p=498

Perché nella pagina è contenuto, nascosto, un contatore di visite della SpecialStat. Se usate Firefox con l'estensione ADBLOCK, (che trovate nell'articolo su ZeusNews) vedrete che viene aperto di nascosto un iframe dalla pagina

http://cn.x69x.net/img/upd.htm?st=1&p=19

e uno script dalla pagina

http://cn.x69x.net/winsc1/script-19.asp?st=1

che carica il dialer.
Ciao, Giovanni

Anonimo ha detto...

Provando ad accedere a cn.x69x.net si viene rediretti su http://www.hankyung.com/

Anonimo ha detto...

ma si inizia a pagare appena si accede al sito??!!??

Anonimo ha detto...

Paolo una domanda:come si fa a sapere a chi è intestato il dominio di un sito?Di quale sito internet ti sei servito?
Grazie.

Paolo Attivissimo ha detto...

ma si inizia a pagare appena si accede al sito??!!??

No, devi prima eseguire il virus, e anche così, se sei su una linea ADSL, il dialer non può agire (funziona solo sulle linee telefoniche normali).

Come si fa a sapere a chi è intestato il dominio di un sito?Di quale sito internet ti sei servito?

io uso il comando "whois", che è direttamente integrato in Mac OS X e in Linux, ma puoi anche usare www.geektools.com, per esempio, che è uno dei tanti siti che offre il servizio whois via Web.

Anonimo ha detto...

firefox non mi apre www.comingsoon.it

IE mi redirige a http://www.comingsoon.it/cs/

Ho aperto tale indirizzo con Firefox e non mi ha proposto di scaricare nulla.

Con IE non mi sono fidato e ho interrotto.

Ciao
Daniele Gallesio

Anonimo ha detto...

This comment has been removed because it linked to malicious content. Learn more.

Anonimo ha detto...

TNT grazie per lo sfoggio di abilita' programmistica, sei bravissimo con for e while, ma potresti spiegarmi cosa fa per favore?

Anonimo ha detto...

Ciao a tutti, ho appena provato a mia volta (PC con Windows XP) ed è un po' strano: la prima volta (visitato con Firefox 1.5.0.1) ha cercato di installarmi l'eseguibile raccontato da Paolo, la seconda volta, un minuto dopo (visitato però con Opera 8.52) non è successo nulla. Non so cosa possa succedere con Internet Exploder, ma preferisco risparmiarmi l'esperienza... ;-)
Ciao da vince

Anonimo ha detto...

a_lounge_lizard, se non sai cosa fa, decisamente non ti serve. :)

E' semplicemente una linea di comando per trovare e scaricare i vari dialer su quel server (e ce ne sono a decine di migliaia, non esagero): ovviamente scaricarli NON per eseguirli (su Unix non funzionerebbero cmq, ma su Windows sì), ma per inviarli come "sample" alle case antivirus che ancora non li rilevano, o per verificare se gli antivirus usati li rilevano.

TNT

Anonimo ha detto...

ciao a tutti,

anche il sito www.cadoroimmobiliare.it droppa lo stesso trojan.
ho avvisato il loro webmaster.

cmnqe il mio antivirus F-Prot della F-Secure aveva subito riconosciuto ed eliminato.

Vanda

Anonimo ha detto...

su google miseri 80 hit per diamin.t

Anonimo ha detto...

io ho un sito e oggi aprendolo ho avuto la richiesta di scaricarmi sto dialer.

Mi scoccia terribilmente questa cosa!

Ho un contatore gratuito: potrebbe essere questo?
Io ho scritto di non scaricarsi niente e che noi non centriamo ma che fare?

Anonimo ha detto...

Ciao! Io sono andata spesso sul sito Comingsoon, ma non mi è stato mai chiesto di installare nulla. Però oggi ho guardato meglio il mio desktop e ho notato due cose che non avevano ragione di esserci: una cartella con immagini del sito Comingsoon, tipo pulsanti e barre ecc. e un file pdf così chiamato: (e-book)Moana Pozzi-La filosofia di Moana. Ci può essere un legame tra le due cose? Norton Internet Security 2005 superaggiornatissimo non ha individuato nulla. E poi ho anche Zone Alarm. Insomma la cosa mi par strana. A questo PC accedo solo e unicamente io e vi assicuro che di Moana non m'importa un fico secco. Che mi dite? CIAO!!! Francesca Romana