[Actualizat] Site-ul Inspectoratului Scolar Judetean Botosani este infectat

Mi-a fost semnalat ca site-ul Inspectoratului Judetean Botosani ar fi virusat. Am vrut sa verific si intr-adevar, nu era alarma falsa. Alaturi de alti 15 antivirusi, AVIRA a detectat virusul din prima clipa datorita motorului sau euristic performant.

Site-ul contine un iframe invizibil care incarca cod malitios de pe site-ul internetcountercheck.com. Este un virus de tip Java, iar extensia NoScript activata (in Firefox) este suficienta pentru a bloca virusul.
Aceste virus este utilizat de asemenea pentru a realiza vizite automate (hits) pentru programele de reclame gen google adwords, crescand veniturile celor care-l folosesc si incarcand nota de plata a advertiserilor.

Iata mai jos detectia actuala a virusului conform virustotal.com:

Nu vizitati acel site pana la remedierea situatiei. Dupa cum mai aminteam, in ziua de azi, nici site-urile considerate sigue nu mai sunt asa in mod obligatoriu. Infectiile doar de pe site-uri warez, porno nu mai sunt de actualitate din pacate.

Actualizare: Exista de asemenea si o vulnerabilitate in baza de date , aceasta putand fi accesata foarte rapid: nume de utilizator si parola. Voi contacta administratorul pentru a remedia situatia.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

13 responses to “[Actualizat] Site-ul Inspectoratului Scolar Judetean Botosani este infectat”

  1. Manide

    "…in ziua de azi, nici site-urile considerate sigure nu mai sunt asa in mod obligatoriu…" Asa este. Mi s-a intimplat si mie ceva asemanator saptamina trecuta la accesarea site-ului revistei 22.Mentionez ca am accesat din nou site-ul cu euristica dezactivata si am avut acelasi rezultat. (Tot cu euristica dezactivata, Avira detecteaza virusul pe site-ul Inspectoratului Şcolar Botoşani).

  2. andrei

    🙂 Din nou Ikarus este la post. Cred că o să-l instalez pe un sistem de test.

  3. Luxian

    M-am confruntat si eu cu problema asta. Daca reusesti sa iei legatura cu webmasterul, sa-i dai si linkul urmator:

    http://luxian.club-z.ro/english/how-to-search-in-files-on-ftp-remove-php-infections-28.html

    E un script facut de mine pe care l-am folosit la dezinfectie. Cred ca ii va fi de folos.

  4. unknown

    o alta vulnerabilitate la acelasi site : http://www.isj.botosani.ro/nou/data/users.dat

    fisierul contine date cu utilizatori si parolele cryptate…

    http://www.isj.botosani.ro/nou/data/

  5. Florin_88

    Kaspersky iara doarme? Poate il schimb de la anul… l-am cumparat cu licenta dar poate la anul cumpar Avira Premium Security Suite.

  6. andrei

    Fişierul respectul users.dat este doar cireaşa de tort, sau bomboana de pe coliva respectivului site şi poate ar trebui ca acesta să fie un avertisment serios pentru toţi dintre noi, să avem mai mare grijă pe ce site-uri ne înscriem şi ce parole folosim. Cred că utilizatorii ar trebui să conştientizeze că nu este indicat să folosească aceeaşi parolă pentru mai multe conturi (indiferent de tipul acestora).

  7. Zana

    Si site-ul ELMIPLANT ar fi virusat dupa Avira.

  8. andrei

    @Radu
    Şi cum s-a încheiat povestea. A răspuns cineva din partea lor ? Am verificat astăzi, iar site-ul apare în continuare infectat.

  9. andrei

    E limpede că-i doare-n… cot, însă mă gândesc că şi eu aş fi putut intra foarte bine pe acel site, fără să mă avertizeze nimeni.

    Am urmărit ce s-a discutat, inclusiv pe stiri.botosani.ro, şi se pare că site-ul respectiv este destul de vizitat în aceste zile, dat fiind faptul că s-au postat rezultatele examenelor de titularizare. Mă întreb aşadar cât este coincidenţă, şi cât premeditare.

  10. FaraVirusi.com » Site-ul trupei Fara Zahar a fost infectat

    […] la feed-ul RSS pentru a primi noutatile de pe aceasta pagina.Va atentionam acum ceva vreme despre infectarea site-ului Inspectoratului Scolar Judetean Botosani. Ei bine o infectie similara exista si pe site-ul trupei Fara Zahar, o trupa mai mult sau mai putin […]

Leave a Reply