Home > Sicurezza > Siti infetti da JS/Exploit.Agent.NBA

Siti infetti da JS/Exploit.Agent.NBA

24 Aprile 2010 - 5.443 Volte visto Lascia un commento Vai ai commenti
1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessun voto)
Loading...

ATTENZIONE:
AVVISO! Le informazioni di questo post potrebbero non essere più valide in quanto non aggiornate. Usa i commenti per contribuire a tenere il post aggiornato.

ULTIMA REVISIONE DEL POST: 25/04/2010


Comincia ad impazzare per la rete una grossa quantità di siti infetti da un famigerato trojan ( JS/Exploit.Agent.NBA trojan connection terminated) che alla fine installa sul pc un nuovo antivirus.
I siti infetti da codice js maligno sono del calibro di virgilio ed altri siti importanti che non vado a catalogare. Quì accanto ne potete vedere un esplicito esempio. Gli Url che puntano al codice maligno variano sempre (non ho capito se ogni giorno o ad ogni visita).
Avast 5.x prontamente ha bloccato l’attacco ma altri antivirus come Mcafee non sono ancora in grado allo stato attuale di eliminare del tutto il problema con la conseguenza che il pc viene infettatto.
Per pulirlo da questo schifo basta usare una versione aggiornata di Spybot (40 minuti di scansione) e il tutto viene eliminato.
I siti per il momento che sono riuscito a trovare che puntano allo schifo sono: http://google.analytics.com.tbuygryyutcj.info/kav/kav4.html
http://google.analytics.com.scvepuxdfzar.info/Idkav/kav4.html
Ma penso proprio che ce ne siano altri e cambieranno spesso, sembra che il file incriminato sia “kav4.exe”.
Che consigli darvi per questo tipo di infezioni? Beh direi che è quasi impossibile sapere quale sito è infetto, per cui mi raccomando se usate Windows (Per Linux o MacOsx non potendo lanciare exe sono esenti):
1) Windows sempre aggiornato con tutte le patch
2) aggiornare sempre il proprio browser all’ultima versione, possibilmente non le versioni Beta o Rc poco sicure(Firefox, Safari, Opera, Internet Explorer; Chrome ecc.)
3) aggiornare almento una volta al giorno l’antivirus e usare l’ultimo motore disponibile in rete (Avast 5 in questo caso ha fatto il suo dovere ed è pure gratis)
4) installare spybot e tenerlo a portata di mano ;)
5) Attivare l’Auc in windows 7 e Vista, in windows Xp usare un account utente non Administrator.

  1. 27 Aprile 2010 a 20:52 | #1

    Non so se collegare quanto accaduto ai casi di server Aruba infetti:
    1) http://www.luca-mercatanti.com/2010/03/29/ancora-intrusioni-per-aruba-una-vergogna/
    2) http://www.hynco.it/?p=1599


NOTE SUI COMMENTI:

Se non avete mai scritto nulla su questo blog, sappiate che il vostro primo commento dovrà essere approvato manualmente dall'amministratore e quindi non comparirà subito sul sito.
Questo sito usa gli Avatar.
E' possibile usare dei tag HTML nel testo del commento, ma solamente quelli validi come XHTML "Strict" verranno accettati, quindi il risultato potrebbe anche essere un po' diverso dal previsto... nel dubbio, usate il testo semplice!
L'avviso di nuovi commenti è completamente automatizzato e nessuno degli indirizzi e-mail verrà fornito a terzi.
La vostra e-mail, che comunque resterà sempre riservata, serve anche per il conteggio del totale dei vostri commenti e per inviarvi, se ne fate richiesta soluzioni ai problemi o ulteriori informazioni nel totale rispetto del D.Lgs 196/2003.