In uno dei miei primi articoli, vi avevo parlato di un estensione di sicurezza per Firefox e anche per Internet Explorer: il WOT.

Avevo sottolineato l’utilità e anzi la necessità di una tale applicazione, al fine di scremare i risultati delle ricerche, evitando siti pericolosi.

Ebbene oggi vi voglio mostrare come sia facile imbattersi in siti che distribuiscono malware: in particolare per ora vanno per la maggiore i cosiddetti Fake Antivirus, ovvero Falsi Antivirus.

Le modalità di propagazione di questi Fake Antivirus non riguardano solo la ricerca di siti web, ma come ha più volte dimostrato un attento ricercatore di sicurezza (Edgar), link che portono al download di questi malware sono presenti anche all’interno di forum italiani, nonché nelle email di spam che arrivano quasi a tutti noi (sottoforma di finti codec per la visualizzazione di video).

Edgar, nel suo blog, riporta quasi ogni giorno esempi di siti legittimi contententi script nascosti che riportano link per il download di questi finti codec, che si rilevano poi essere malware di varia natura (per lo più Fake Antivirus).

Il caso più recente riguarda un sito italiano di meteorologia, che a tutt’oggi (ieri ndr) risulta ancora essere infetto.

Il sito in questione, come spiegato nell’articolo di Edgar, contiene uno script che tenta di connettersi ad IP diverso da quello relativo al sito meteo.

Oggi, visitando quel sito con Firefox, a distanza di circa 4 giorni, ci appare questo messaggio chiarissimo:

L’indirizzo IP in questione è quindi già inserito nella black list di Firefox e al momento appare offline.

Vorrei fare notare come l’uso del componente aggiuntivo NoScript di Firefox permette la visita del sito in tutta tranquillità, in quanto bloccando lo script principale del sito, viene bloccato anche lo script nascosto che indirizza a quell’IP.

La presenza di questo indirizzo IP comportava per chi visitava il sito l’apparizione di questo messaggio

Una sorta di avviso di sicurezza, che invita al download di un applicazione non ben definita.

Ciccando su Run, ciò determinava il download di un eseguibile, che esaminato sul noto sito www.virustotal.com, appare chiaramente come malware:

In questo caso, vi è un alto riconoscimento: ma chi segue il blog di Edgar, sa benissimo quanti malware non vengono riconosciuti dalla quasi totalità dei prodotti antivirus.

E questo dato dimostrazione come l’antivirus sia un metodo di difesa oramai più che superato e non più sufficiente: quindi non vi lamentate se il vostro Avira o Kaspersky vi ha fatto passare qualche malware, come ho già detto più volte, la sicurezza dipende dalla vostra testa.

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.