pc-facile.com aveva un trojan
webmaster: 24/10/10 @ 06:12Dapprima non riuscii a riprodurre il problema - il trojan era intelligente e non si manifestava a ogni reload della pagina -, ma con un po' di lavoro trovai la firma del trojan. Tutto ciò che il trojan faceva era aggiungere una riga di codice in fondo a certe pagine:
Mi tuffai immediatamente alla ricerca di una soluzione e di una spiegazione su come fosse potuto succedere che pc-facile.com fosse rimasto vittima di un trojan.
Con un po' di ricerca mi accorsi che non ero l'unico a essere stato infettato. C'erano però tre cose strane nei racconti trovati: la prima è che tutti i post erano del 2008/2009 (come se questo tipo di attacco non succedesse più), la seconda è che pareva esserci accordo sul fatto che questo trojan indicava che il PC del webmaster era stato compromesso e la terza è che tutti indicavano come molto semplice la rimozione di questo trojan. Stando ai post, infatti, sarebbe stato facile rimuovere manualmente l'iFrame incriminato e rimuoverlo, ma nonostante tutti i miei sforzi io non trovai alcun codice incriminato da rimuovere dal server.
Nonostante la mia convinzione di non essere stato infettato feci una scansione completa del PC con una mezza dozzina di anti-virus e anti-malware e tutti diedero risultato negativo. Sicuro di essere pulito cambiai la password al server e ricaricai tutti i file, ma anche dopo tutto questo il codice infetto continuava a ripresentarsi regolarmente.
A questo punto pensai che il trojan che ci aveva infettato era un'evoluzione di quelli indicati sui forum e che stava inserendo l'iFrame al volo da qualche processo ben cammuffato. Dopo una breve consultazione con lo staff capimmo che l'unico tentativo da fare era quello di formattare il server e di reinstallare tutto.
Sembra che il tentativo sia riuscito e che il trojan sia stato debellato quindi siamo tutti contenti.
Nell'installare il sito è successo però che l'archivio di backup con le immagini uploadate dagli utenti e dallo staff si sia corrotto e quindi abbiamo perso alcune cose. Tra queste ci sono gli avatar e gli allegati del forum e le immagini delle sezioni come Download, Hardware e News.
Mi vorrei scusare con tutti per il disagio causato con questo downtime e con le informazioni perse.
Chiederei inoltre a tutti quanti abbiano visitato il sito negli ultimi giorni di fare una scansione completa del proprio sistema con un anti-virus aggiornato: sono sicuro non sia successo nulla, ma preferirei tutti facessero un rapido controllo per confermare che il PC sia ancora pulito.
Commenti: 4
I commenti dei lettori:
Maxmula
il 25 Ottobre 10 @ 21:54 pm
Mah, non so se dipenda dal fatto di visitare spesso PC-Facile o da altro... sta
di fatto che anch'io nei giorni scorsi sono sato alle prese con un trojan che
aveva colpito il mio PC fisso.
Era stranamente lento (più di quanto possa esserlo un athlon XP 2600+,
monoprocessore, rispetto a ben altro hardware più recente), ma soprattutto
c'erano processi come Explorer.EXE, FIREFOX.EXE ONDA_MON.EXE (scritti
esattamente così, ovvero con le maiuscole quando so per certo che dovrebbero
essere tutti in minuscolo).
Anche nel mio caso gli antivirus hanno fatto poco o niente: mettevano in
quarantena qualche file (l'unico malware identificato era Delf) e per un po'
sembrava tutto in ordine, poi riecco le dannate maiuscole.
Ora dovrebbe essere tutto risolto: a questo proposito vorrei segnalare la mia
esperienza positiva fatta col servizio 911-Antivirus Service messo a
disposizione da Kaspersky, che ho provato a consultare prima di procedere al
ripristino di un backup..
Ci si registra (http://kaspersky-911.com/ ) e si apre un
ticket, compilando un breve questionario in cui si descrivono i sintomi.
Quasi subito si riceve un messaggio da Kaspersky che invita a scaricare e far
girare il loro Virus Removal Tool e ad inviare un log file con le informazioni
raccolte.
Nel giro di una ventina di minuti, la pagina del browser viene aggiornata con
uno script da far girare nel Removal Tool.
Incredibile a dirsi, compiute queste operazioni e fatto un reboot, il mio
PC è tornato alle prestazioni di prima del problema ed ho solo dovuto
reinstallare un software (CDBurner XP) e rimuovere un paio di plugin di Firefox
(che peraltro non mi servivano più da tempo).
Da ieri sera sto
lavorando con Task Manager aperto e per ora di processi strani nessuna
traccia... Si direbbe proprio che i Russi l'abbiano imbroccata! :)
Nota bene: il tutto è GRATIS: Il servizio è al momento in fase di test.
Non so se si tratti di un sistema automatico o se ci sia effettivamente del
personale che risponde ai ticket (anche di somenica!): di certo, se l'intervento
riesce, permette almeno di evitare i fastidi di un formattone!
Non ricordo se su PC-Facile si sia mai parlato di questo servizio... nel caso
potrebbe essere un notizia interessante.
Ciao,
MAx
webmaster
il 27 Ottobre 10 @ 19:15 pm
no, non abbiamo mai parlato di questo servizio e sembra interessante. saresti interessato a parnarne tu stesso?
zendune
il 06 Novembre 10 @ 17:57 pm
Prima di tutto voglio fare una nota: WM sei grande !!! e sono d'accordo con te
sulla politica che hai tenuto su questo fatto: ammettere l'infezione, non è da
tutti farlo.
Questo per ricordare a tutti che anche i migliori possono perdere qualche
battaglia.
Aggiungo una piccola parte ai fatti: nel mio caso, sia sotto Linux che sotto
Windows, utilizzo come browser Firefox con il plugin NoScript. Non mi ero
accorto del problema ed il mio antivirus non segnalava nulla.
Infatti, con NoScript, abilitando www.pc-facile.com come sito
attendibile, la ridirezione veniva bloccata automaticamente, impedendo
l'esecuzione del codice malevolo.
Questo per ricordare che un buon browser, con un piccolo plugin, fa la
differenza.
Maia
il 13 Dicembre 10 @ 21:06 pm
sono d'accordo con zedune non tutti avrebbero ammesso la cosa, io non visitavo
più il vostro sito da un po' perchè anche il mio antivirus segnalava questa
cosa, beh meglio sia stata risolta.
Saluti
web agency napoli
Lascia un commento
Insulti, volgarità e commenti ritenuti privi di valore verranno modificati e/o cancellati.Login | Iscriviti
salve non mi arriva il link su la mail per la registrazione
Rosario 62
[30/03/20 @ 14:31]
prova e riprova, con intervalli sempre più lunghi: purtroppo l'ultima mail all'utilissimo...
agierre
[18/12/16 @ 13:58]
secondo me è giusto smettere di realizzare siti per ie6 e presentare una pagina che avvisi...
Piuincontri.com
[26/03/14 @ 16:16]
ho provato con firefox a simulare un sistema android (con user agent switcher) e mentre il...
Dylan666
[02/09/13 @ 16:59]
Dylan666
[02/09/13 @ 10:21]
grazie per la segnalazione dylan, vedo di sistemare asap. con che cellulare hai riscontrat...
webmaster
[29/08/13 @ 13:17]
ho notato che nella versione mobile del forum se c'è un lungo testo tra i tag code il codi...
Dylan666
[28/08/13 @ 23:03]
webmaster
[12/02/13 @ 17:53]
sbaglio o è stato ridimensionato il sito? :-) adesso si vede bene anche sul mio 1024x768 :...
Dylan666
[12/02/13 @ 09:39]
grazie per la segnalazione dylan. ho notato che il probelma si verifica solo se non sei lo...
webmaster
[11/02/13 @ 19:46]