Luce.it è infetto. Già a partire da ieri il sito dell’Istituto Luce risultava infettato da un trojan: non appena si apre l’home page viene caricato un JavaScript, AC_RunActiveContent.js, che contiene al suo interno un’espressione regolare in grado di scaricare codice malevolo da un sito russo “bestseasilver.ru” funzionante su porta “8080”.
Al momento quasi tutti i principali antivirus contengono le firme virali che identificano la minaccia e bloccano completamente la navigazione su www.luce.it. L’identificazione del trojan è praticamente unanime: una variante di Trojan.JS.Redirector.
Al momento in cui scrivo, il sito dell’Istituto Luce risulta ancora infetto, un ritardo davvero notevole visto che la minaccia era già stata evidenziata da ieri.
Probabilmente, ma si tratta soltanto di ipotesi, l’infezione è una risposta alla rimozione dell’applicazione iMussolini da AppStore, un atto richiesto proprio dall’Istituto Luce, detentore dei diritti sui discorsi di Benito Mussolini.
Ancora non è possibile capire come sia stato possibile infettare il sito, certo è che Luce.it gira su IIS 6, una versione ormai datata del Web server di Microsoft che potrebbe essere stata “bucata” per consentire l’infezione.