Questo articolo vi arriva grazie alle gentili donazioni di "papnik", "emilio59" e "andreaschie****". L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2006/03/20.
Sfoglio i canali della TV e capito su Coming Soon Television: un canale italiano di trailer cinematografici e informazioni sul mondo del cinema. Lo seguo spesso, è un bel canale, i suoi programmi appaiono anche in altre reti televisive.
Dopo una rassegna di anteprime cinematografiche, uno speaker invita a visitare il sito Comingsoon.it per scaricare i trailer del weekend nei vari formati, in modo da poterseli portare in giro con l'iPod e simili. Vado a vedere il sito, e qui arriva la sorpresa.
Il sito Comingsoon.it deposita un trojan sul computer dei visitatori. Me ne sono accorto perché visitandolo con il mio Mac e Firefox mi è comparsa la richiesta di salvare su disco un file eseguibile per Windows di nome 1054722.exe.
Ho inviato il file al controllo gratuito di Kaspersky, e risulta essere "infected by Trojan.Win32.Diamin.t".
Ho ripetuto l'esperimento con un altro Mac (a scanso di equivoci) e con un PC Windows. In tutti e tre i casi, lo stesso effetto: visitando il sito Comingsoon.it arriva questo tentativo di iniezione di un file che Kaspersky classifica come infetto.
Il file proviene da http://deposito.hostance.net, come potete vedere dalla finestra di dialogo in alto a sinistra (cliccatevi sopra per ingrandirla). Stranamente, visitando il sito deposito.hostance.net dal quale proviene il file infetto, si ottiene una schermata di test di Apache su Red Hat, come se si trattasse di un server mal (o non) configurato. Il dominio Hostance.net risulta intestato alla Carima Enterprises Limited, di Londra, nota fucina di dialer, come notato persino da Symantec.
L'enciclopedia di virus di Kaspersky al momento non contiene una descrizione di questo file infetto, ma soltanto una pagina segnaposto. Spero di sapere presto che cosa contiene questo file, ma è improbabile che sia qualcosa di buono.
Nel frattempo, ho contattato Comingsoon.it per segnalare il problema e chiedere chiarimenti.
Aggiornamento (2006/02/20 01:05). Secondo i miei test e le segnalazioni, da qualche ora il sito sembra aver smesso di iniettare il virus ai propri visitatori. Resta il problema di chi ha visitato il sito ed è stato infettato (anche per propria imprudenza), e di chi ha scelto di usare un'azienda sparadialer come la Carima all'interno del sito di Coming Soon Television.
Aggiornamento (2006/03/20). Ii 22 febbraio 2006, la redazione di Comingsoon.it mi ha scritto: "siamo stati avvertiti dal provider presso il quale alloggia il nostro server. Hanno provveduto loro stessi. Chiediamo scusa per eventuali disagi e grazie comunque per la segnalazione".
Nessun commento:
Posta un commento