Vimax: quando la pubblicità diventa virus
Banner pubblicitari di cattivo gusto su siti “perbene”: declino del mercato pubblicitario online? No, solo malware fastidioso e invadente…
Un giorno qualsiasi su un sito qualsiasi di video online (Metacafe.com, nello specifico). Mentre diamo uno sguardo a un video musicale, sul lato destro dello schermo compare un banner abbastanza inquietante dedicato a pubblicizzare un qualche prodotto che promette improbabili “estensioni” dell’organo sessuale maschile.
Ora, Metacafe non e’ che sia tutto per educande (ci sono video segnalati come vietati ai minori di 13 o 18 anni) ha dei limiti ben precisi e non consente l’inserimento di materiale troppo volgare; e un banner del genere (poi riapparso sullo stesso sito in altre varianti, con foto allusive mediamente di cattivo gusto) non ce l’aspettavamo proprio.
Poco tempo dopo un altro caso strano: qualcosa di analogo compare su un sito decisamente insospettabile, il “social network per professionisti” LinkedIn. Che sta succedendo? Possibile che la crisi economica abbia portato siti web e adserver ad accettare quel che capita?
La pubblicità in questione è quella del fantomatico Vimax, pillolina magica (?) che promette prestazioni miracolose. Senonché, se già appare improbabile questo tipo di spot su LinkedIn, la presenza di un banner di diverso formato ma ancora dello stesso prodotto anche su MSN mette la pulce nell’orecchio.
No, nessuno di questi siti era così disperato da essersi ridotto ad avere Vimax come unico inserzionista: siamo davanti a un codice maligno che effettua un dirottamento del DNS e rimpiazza sulla macchina “infetta” i normali banner di molti siti con questo improbabile sponsor unico. Qualcuno parla di clickjacking, che però è un termine un po’ imporoprio in questo caso: qui non ci sono pulsanti invisibili o imbrogli del genere; è tutto visibilissimo ma va a sostituirsi ai normali banner.
Fastidio per gli utenti che se lo ritrovano, danno economico per i siti che vedono dirottato il traffico dai propri inserzionisti regolari (e per di più paganti).
Effettuate un po’ di ricerche ricostruiamo che il malware in questione – forse scaricato dopo aver provato e installato numerose applicazioni “free” sulla macchina in questione, in particolare una serie di convertitori per file video di diversi formati – circola massicciamente negli Stati Uniti dagli ultimi mesi del 2008, che molti antivirus e antispyware non sono ancora in grado di rimuoverlo e che diversi forum segnalano modi un po’ macchinosi per risolvere manualmente il problema. Il codice è una variante di un vecchio DNSChanger in circolazione già dal 2005, che effettua modifiche al registro di sistema e – a detta di vari utenti della Rete – funziona anche in Chrome oltre che nei più comuni Explorer e Firefox.
Il classico Spybot S&D dovrebbe riuscire a pulire l’infezione ma… sorpresa: sulla macchina in esame non c’é e il sito sembra inaccessibile. Eppure, un altro computer collegato allo stesso router wireless accede tranquillamente. Un file di installazione trasferito da un altro PC fallisce allo stesso modo: il programma cerca di scaricare aggiornamenti dal sito ufficiale, al quale non ha accesso. Il malware dunque previene tentativi di ripulitura? Parrebbe di sì.
Risolviamo temporaneamente il problema usando uno Spybot installato su un hard disk esterno da un’altra macchina e poi lanciato dal PC infetto. Il malware sembra identificato e rimosso. Eppure, dopo un po’, rieccolo alla carica. Spybot non è riuscito a pulire tutto quanto.
Nel frattempo, altri effetti “speciali”: alcune ricerche di Google vengono dirottate e rimandano alla home del motore di ricerca. O da siti insospettabili si aprono popup pubblicitari di vario tipo, anche con spot di siti rispettabili come eBay. L’elemento in comune? Tutta questa spazzatura digitale, come i banner Vimax, sembrerebbe arrivare da adv.net, fantomatica società con sede in una località dell’Ontario, Canada (come si può rilevare effettuando un Whois su Netsol.com). Non tentate di avere informazioni da www.adv.net: c’è solo un logo e l’informazione che “adv.net will be back in the future”.
Dopo aver scoperto che l’infezione è sanabile con Malwarebytes’Anti-Malware, software scaricabile gratuitamente, ci sentiamo di dire che nel “futuro” di questi personaggi l’unica cosa garantita saranno grane legali di discreta entità…
Pubblicato su: http://mytech.it/web/2009/01/27/vimax-quando-la-pubblicita-diventa-virus/