Download.com, controllate se avete scaricato questi tre programmi contenenti malware
I ricercatori della società di sicurezza informatica ESET hanno individuato tre applicazioni con funzionalità trojan ospitate sul sito download.cnet.com, uno dei portali più conosciuti per l’hosting di utility e e software di vario tipo. I ricercatori sono venuti a conoscenza del problema dopo la segnalazione di un utente.
La prima applicazione individuata è Win32 Disk Imager, presente su download.com sin dal 2 maggio 2016. All’interno di questa applicazione si nasconde una variante di MSIL/TrojanDropper.Agent.DQJ. Il programma è stato scaricato 311 volte solo nell’ultima settimana e 4500 volte in totale dalla sua presenza su Cnet. Una seconda applicazione compromessa è CodeBlocks, un ambiente di sviluppo integrato usato da molti sviluppatori C/C++. Infine la terza applicazione è MinGW-w64 un porting per Windows del compilatore GCC, che però contiene diversi elementi dannosi tra cui uno strumento per sottrarre bitcoin e un virus.
Cnet ha rimosso queste applicazioni dal proprio sito, dopo la notifica di ESET. La società di sicurezza ha pubblicato un approfondimento tecnico sul proprio blog che spiega il meccanismo di funzionamento dei tre malware, e ha indicato i passi da compiere per coloro i quali abbiano scaricato i software e siano stati loro malgrado infettati. Ve li riportiamo di seguito:
-Eliminare i programmi di installazione scaricati chiamati win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDDDDD1717566) risp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) dalla cartella di download
-Rimuovere gli exe nella cartella% appdata% \ dibifu_8 \ (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)
-Rimuovere y3_temp008.exe da% temp% \ folder (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, risp. C758F832935A30A865274AA683957B8CBC65DFDE)
-Eliminare il valore del registro ScdBcd dalla chiave HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Maggiori informazioni sono disponibili a questo indirizzo. (fonte)
