QR code per la pagina originale

Un Trojan colpisce il sito dell’Istituto Luce

Chi in queste ore accede al sito dell'Istituto Luce va incontro ad un grave problema rappresentato da un Trojan che, richiamato da un piccolo codice nascosto, tenta di installare software sul sistema. Il tutto nel giorno della denuncia a "iMussolini"

,

Nel giorno in cui l’ANSA annuncia la censura dell’applicazione per iPhone relativa ai discorsi di Mussolini, l’Istituto Luce si trova a dover fare i conti con un pericoloso problema di sicurezza. La clamorosa concomitanza dei tempi sembra però ovviamente gettare un’ombra di sospetto sul tutto.

Secondo l’ANSA, infatti, la denuncia che ha portato alla sospensione dell’applicazione giunge proprio da Cinecittà Luce: «Dopo giorni di polemiche, l’applicazione per i-Phone “I-Mussolini” è stata rimossa dall’App Store dallo stesso autore, Luigi Marino. La decisione del programmatore napoletano è arrivata a ventiquattrore dalla denuncia di Cinecittà Luce, che aveva annunciato un’azione legale contro ”chiunque abbia impropriamente fatto uso e commercializzazione di materiale di nostra proprieta”».

Per verificare la notizia abbiamo semplicemente cercato se il sito web dell’Istituto Luce potesse riportare informazioni aggiuntive. La scoperta è stata immediata: all’accesso al sito si entra in contatto con una sorta di falso antivirus che procede alla scansione del pc richiedendo l’interazione da parte dell’utente. La chiusura dell’applicazione è possibile tramite CTRL+ALT+CANC, ma l’installazione in atto non fa altro che evidenziare il fatto che il sito web sia stato compromesso. La redazione ha pertanto contattato Marco Giuliani, ricercatore Prevx, il quale ha immediatamente certificato l’infezione (verificata con metodo euristico grazie al sistema di analisi del gruppo). Il consiglio Prevx è quello di filtrare le connessioni all’indirizzo IP 188.40.118.68, il che mette immediatamente al riparo da ogni problema.

Segnala Microsoft Security Essential: «MSE ha rilevato programmi che potrebbero compromettere la privacy o danneggiare il computer». Il file infetto è identificato come Trojan:Win32/Winwebsec ed il dominio infetto d’origine è riscontrato presso xunlei-com.mop.com.quikr-com.bestseasilver.ru. Secondo una prima analisi di redazione il codice modificato sarebbe quello che richiama Flash: «c’è un redirect che tramite espressione regolare punta al dominio xunlei-com.mop.com.quikr-com.bestseasilver.ru:8080».

Lapalissiana l’analisi Norton sul dominio in questione:

Norton, analisi del dominio Luce.it

Non tutti i sistemi di scanning online hanno immediatamente identificato il problema ed il sito risulta attualmente compromesso. Il consiglio è pertanto quello di evitare l’accesso al sito Luce.it in attesa che il problema venga risolto e le protezioni a disposizione siano aggiornate. Google al momento segnala il sito bestseasilver.ru come “sospetto”: «Delle 9 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 0 pagine hanno causato il download e l’installazione di software dannosi senza l’autorizzazione dell’utente. L’ultima volta in cui Google ha visitato questo sito è stato il 2010-02-01, mentre l’ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2010-02-01». Ciò nonostante, però, «questo sito ha ospitato software dannosi negli ultimi 90 giorni. Ha infettato 7 domini, tra cui erotikguzeller.org/, stratecent.com/, boviboyermatrimony.com/».

Inutile sottolineare come il problema sia moltiplicato dalla concomitanza dei tempi con la denuncia dell’Istituto Luce nei confronti dell’applicazione per App Store, la stessa che nei giorni scorsi aveva fatto parlare di sé per essere tra le più scaricate d’Italia. Dai problemi di copyright, però, si è passato in poche ore ai problemi di sicurezza. Ed in questo caso a rimetterci è l’utenza.

Notizie su: