Codice maligno in Google Code

Anche Google Code è vittima di malware. La divisione di Google che ospita progetti e codici di programmazione è stata sfruttata da pirati informatici per indurre gli utenti a scaricare un trojan che, una volta installato, comunica le password ai server centrali situati in Lettonia.

L’idea è di immettere un progetto che comprenda una finestra video: quando l’utente clicca per vedere il contenuto del video compare un messaggio che chiede l’autorizzazione a scaricare un codec mancante per la corretta visualizzazione. In realtà ciò che viene scaricato con l’autorizzazione dell’utente è il trojan in questione. I video fasulli sono ormai centinaia e anche se Google sostiene di averne cancellati moltissimi (con strumenti di rimozione automatica), in molti però notano come ne siano ancora presenti in quantità.

Un sistema simile si era già visto a discapito di MSN Spaces, ma la differenza ora è che i contenuti di Google Code compaiono sulle pagine dei risultati del motore di ricerca e dunque molte più persone vi possono accedere. Il punto per i criminali informatici è sempre accedere ad un servizio di hosting gratuito e indicizzato.

A scoprire la storia è stato Chris Barton di McAfee che si è fatto anche promotore di diversi metodi attraverso i quali Google può rintracciare e cancellare tali video: «Sono sicuro che Google non vorrà apparire cattivo e prenderà contromisure più serie di quanto abbia fatto». Barton ha dato indizi a Mountain View e anche mostrato come si possano usare le stesse ricerche del motore per trovare tali pagine infette.

Quasi contemporaneamente Panda Security comunica che sono comparse tre nuove varianti di Conficker(denominate A, B e C), worm che da Novembre continua ad infestare la rete. Le nuove varianti sfruttano sempre una vulnerabilià di Windows (MS08-067) per prendere controllo del PC e diffondersi, oltre che in rete, anche attraverso qualsiasi dispositivo USB collegato. Le difficoltà nel bloccare il worm sono tutte dovute al fatto che si aggiorna da solo e tramite la rete scarica anche altre componenti maligne. I possibili rimedi suggeriti dalla società di sicurezza indicano di aggiornare il computer da Windows Update, assicurarsi di avere anche un antivirus aggiornato, disattivare l’autorun delle porte USB e, se già infetti, utilizzare il tool gratuito ActiveScan.

C’è infine anche una dimensione comunicativa all’interno del mondo del malware. Una delle ultime varianti del worm W32/Zlob, infatti, conteneva all’interno del codice un messaggio particolarmente ironico. Permeato di cordialità tipica dello spirito natalizio, il messaggio parte dall’autore del worm e si rivolge ai tecnici Microsoft che operano per la sicurezza dei propri sistemi: «Volevo solo mandarvi un saluto dalla Russia. Siete ragazzi veramente fortunati. È una sorpresa per me che Microsoft abbia risposto al problema tanto in fretta. Buon anno ragazzi, e buona fortuna!».