Selected news item is not available in the requested language.

Italian language proposed.

Close

01/04/2014
10:50

JavaScript malevolo modifica impostazioni router e reindirizza a finte pagine web!!


Attraverso un JavaScript su pagine web infette vengono modificate le impostazioni di alcuni router: cercando di aprire i motori di ricerca viene visualizzata una finta pagina di aggiornamento Flash Player!!

Questa mattina (1 Aprile 2014), il C.R.A.M. (Centro Ricerche Anti-Malware della TG Soft) ha riscontrato numerose infezioni di Rootkit di nuova generazione, accompagnati da Trojan.Banker e Dropper.

L'infezione parte da una falla di sicurezza di alcuni modelli di router Wi-Fi, quali: D-Link, Micronet, Tenda e Tp-Link tra gli altri.

Navigando su Internet l'utente visita una pagina web infetta che, attraverso un JavaScript malevolo, modifica le impostazioni del server DNS del router impostando un indirizzo IP americano.

Nei casi riscontrati, l'indirizzo IP modificato è "68.168.98.196" e risulta essere registrato a:
NetName:        CODERO2010A
RegDate:        2010-03-08
Updated:        2012-03-02
OrgName:        Codero
OrgId:          APHIN
Address:        5750 W. 95th St., Suite 300
City:           Overland Park
StateProv:      KS
PostalCode:     66207
Country:        US
RegDate:        2009-07-21
Updated:        2014-03-05

Dopo aver modificato queste impostazioni, quando l'utente cerca di collegarsi ai principali motori di ricerca viene reindirizzato ad una finta pagina di aggiornamento Flash Player, molto simile a questa:



Trovandosi davanti a questa schermata un utente attento e consapevole, sapendo che è sempre bene aggiornare i programmi installati, procede scaricare il finto update.
Eseguendo il file scaricato, vengono installati tre virus/malware di nuova generazione:
  1. Trojan.Win32.Dropper.DK
  2. Trojan.Win32.Banker.AEM o variante AEL (famoso Trojan che ruba le credenziali di accesso dell'home banking)
  3. Trojan.Win32.Rootkit.JP (il più temibile dei tre)
Al fine di evitare questo tipo di infezioni, si raccomanda di AGGIORNARE IL FIRMWARE del vostro router e VERIFICARE LA COMPLESSITÀ DELLE PASSWORD d'accesso alle impostazioni. Si sconsiglia di lasciare le credenziali d'accesso di default, quali ad esempio: ADMIN / ADMIN.
Inoltre, per l'accesso via Wi-Fi, si raccomanda di impostare una chiave con crittografazione WPA2 meglio se AES).

Se, invece, avete già installato il finto aggiornamento dovete contattare il prima possibile il Vostro supporto tecnico per verificare il tasso di infezione del computer e per rendere immune il router da questo tipo di attacco.

Ricordiamo che i clienti della versione PRO di Vir.IT possono contattare il supporto tecnico offerto GRATUITAMENTE da TG Soft ai numeri 049.631748 e 049.632750 o via email all'indirizzo assistenza@viritpro.com.

Analisi a cura del C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: