Il portale del software

Italian Job può tornare lo afferma Trend Micro

di Gianluca Gioffré

Lo scorso giugno, il virus battezzato 'Italian Job' aveva infettato oltre 6.000 siti italiani di turismo, intrattenimento, automobili e materiale per adulti, provocando danni a più di 15.000 utenti Internet durante la sua prima settimana di attività

Lo scorso giugno, il virus battezzato 'Italian Job' aveva infettato oltre 6.000 siti italiani di turismo, intrattenimento, automobili e materiale per adulti, provocando danni a più di 15.000 utenti Internet durante la sua prima settimana di attività. Nei giorni scorsi, Trend Micro ha individuato un nuovo sito web “maligno” che può far pensare a un ritorno di “Italian Job”. Il sito, infatti, prende di mira gli utenti italiani, spacciandosi per un tour operator specializzato nei viaggi in India. La fonte del malware è simile a http://www.{BLOCKED}elettronici.com/indiatouroperator/registrazione.exe. Quest'ultimo file è stato identificato da Trend Micro come il trojan TROJ_AGENT.AAFY, mentre l’indirizzo URL che lo ospita è uno script maligno rilevato come HTML_AGENT.AAFX. Una volta che il file “registrazione” si è installato nel sistema dell’utente, questo viene automaticamente reindirizzato su un sito di oroscopo, che di fatto non ha niente a che vedere con il tour operator. Il file registrazione.exe (TROJ_AGENT.AAFY) scarica inoltre altre componenti malware come TROJ_AGENT.ZTH. Quando l’installazione è stata completata, il browser indica che si è verificato un errore durante il caricamento del sito “desiderato”. Il modo più facile e veloce per continuare, quando Internet Explorer (IE) si blocca, è quello di aprire un nuovo browser, ma così facendo l’utente scoprirà che la pagina di avvio di IE punta verso un nuovo sito web, www.qoogler.com, che finge di essere il sito web legittimo di Google. Non si tratta di un errore tipografico, ma in realtà è “qoogler.com” che finge di essere il motore di ricerca Google. Guardando questa pagina più da vicino, ci si accorge che Google è diventato 'GOOOGLE'. Il sito ha anche un link “AstroGooogle”, che rimanda l’utente al sito di astrologia già citato prima. Ancora una volta si tratta di una tecnica di social engineering che il malware utilizza per ingannare gli utenti inducendoli a scaricare altri suoi componenti maligni. Blognotiziedigitali