Trojan e Hijack degli Annunci AdSense

Posted on dicembre 21, 2007. Filed under: News |

L’azienda antivirus rumena BitDefender ha segnalato la diffusione di un nuovo codice malware programmato per compromettere la visualizzazione degli annunci pubblicitari Google AdSense, pubblicati su un grande numero di siti web in Internet.

Il nuovo codice malware trojan, classificato come Trojan.Qhost.WU (Trojan.Qhosts.F, QHosts-95), colpisce i sistemi Windows eseguendo l’hijack delle impostazioni contenute nel file “hosts” del sistema (%WINDIR%\System32\drivers\etc) in modo da re-indirizzare il caricamento degli annunci dal server di Google (page2.googlesyndication.com) verso un server third-party malevolo.

Il server nocivo è in grado di fornire contenuti a proprio piacimento e questo comporta un ulteriore rischio per gli utenti infetti, dato che questi contenuti (caricati al posto degli annunci AdSense) potrebbero puntare ad ulteriori codici malware. Contestualmente l’hijack causa un danno diretto ai gestori dei siti web: prima di tutto impedisce all’utente infetto di raggiungere gli annunci pubblicitari che generano introiti per i siti, in secondo luogo potrebbe portare gli utenti a credere che questi siti stiano servendo contenuti nocivi o annunci non opportuni.

I sintomi dell’infezione da Trojan.Qhost.WU sono:  1. le pagine web che normalmente includono pubblicità della piattaforma di advertising Google non mostrano annunci o mostrano contenuti provenienti da altre fonti.  2. Il file hosts, utilizzato per fornire una mappatura locale “nome dominio/IP”, include una linea di codice per il redirect dell’host “page2.googlesyndication.com”. Per verificare l’eventuale infezione da parte del trojan, gli utenti possono eseguire un ping del server Google tramite linea di comando (ping -t pagead2.googlesyndication.com). La risposta offerta dal comando dovrebbe riportare un indirizzo IP in forma [6x.xxx.xxx.xxx] dove le “x” stanno per cifre da 1 a 9. In caso di infezione la prima cifra dell’indirizzo IP non sarà 6 ma 9 (91.184.6.xxx).

Per prevenire l’infezione da parte del Trojan, gli utenti dovrebbero assicurarsi di aver installato un software di protezione, aggiornato alle ultime definizioni di rilevamento disponibili. Molti software anti-virus e anti-spyware implementano anche un sistema di protezione contro le modifiche “maliziose” del file hosts. Per rimuovere l’infezione è anche possibile provare il software gratuito SmitFraudFix v2.274 (istruzioni). Si tratta di uno strumento espressamente dedicato alla rimozione dei malware Desktop Hijack, che offre la funzione di ricerca e pulitura degli hijack DNS.

Fonte. 

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: