Un virus ha infettato Google!!

Indagine iniziale: 19 maggio 2003. Ultimo aggiornamento: 20 maggio 2003.

Indagini antibufala consultate dal 7/11/2003:

Il testo dell'appello

Con varianti minime, il testo che circola è questo (le evidenziazioni in grassetto sono mie):

LE INSIDIE DELLA "NEW ECONOMY"

VIRUS INFORMATICO COLPISCE TUTTI I VISITATORI DEL FAMOSO MOTORE DI RICERCA 'GOOGLE'

Inquietante scoperta dello staff tecnico addetto alla sicurezza del portale GOOGLE: ignoti pirati informatici sono riusciti ad installare decine di migliaia di Active Internet Content (una sorta di virus) nei servers di GOOGLE che, nel momento stesso in cui l'utente accede alla HOME PAGE, riescono a catturare e spedire verso servers anonimi la posta elettronica archiviata nella cartella "Posta in arrivo" dell'ignaro visitatore, forse per ricavarne indirizzi email per fini pubblicitari.

Poiché i programmi pirata si annidano nei sistemi operativi dei servers, la loro rimozione comporterebbe settimane di laboriose installazioni e riconfigurazioni, durante le quali il portale resterebbe off-line per diverse ore al giorno, con ingenti perdite nelle sponsorizzazioni.

Si sta quindi cercando di realizzare urgentemente una patch per riparare i sistemi operativi dei centinaia di servers coinvolti. Purtroppo le particolari caratteristiche dei subdoli programmi invasivi impediscono la loro rilevazione da parte dei più comuni antivirus e firewall,per cui al momento non esistono difese efficaci dal lato utente.

Chi ha utilizzato GOOGLE negli ultimi 2 mesi, pur avendo rischiato di essere vittima dell' Active Internet Content non deve fare nulla: il virus si annida solo nei servers, e colpisce i singoli PC degli utenti solo nel corso del collegamento con il sito infetto.

Maggiori informazioni:

http://www.paperwebstore.com/virus.asp

http://www.crt.net.au/etopics/activecontent.htm

http://boston.internet.com/news/article.php/1466341

Perché è una bufala

Le situazioni descritte nella "notizia" sono totalmente prive di senso dal punto di vista tecnico.
L'assenza del cosiddetto "Active Internet Content" nelle pagine di Google è facilmente verificabile esaminando il codice HTML con qualsiasi normale browser.
Le pagine Web citate dalla notizia come fonti per maggiori informazioni non parlano affatto di problemi riguardanti Google; accennano genericamente al noto problema dell'"Active Internet Content", che può essere annidato in una pagina Web, ma non è presente nelle pagine di Google. In altre parole, servono soltanto per conferire maggiore autorevolezza (apparente) alla bufala.
Nessun sito della Rete ne parla. Se la notizia fosse vera, tutta Internet sarebbe in subbuglio di fronte all'enormità della cosa.
La notizia sembra provenire dalla newsletter di IOL/Libero, se si guarda l'indirizzo del mittente (newsletter@iol.it) e la dicitura "16 maggio 2003 - numero 157 LIBEROnews" talvolta presente nel messaggio, ma in realtà il mittente è falso: la notizia è numerata 157, ma la 157 vera risale al 7 maggio, e nell'archivio delle news di Libero (http://news2000.libero.it/newsletter/archivio.phtml) non c'è traccia di questa notizia.
L'intestazione del messaggio è stata falsificata, come descritto nel newsgroup it.comp.sicurezza.virus, per far sembrare che provenga da Iol.it.

Datazione

Le prime tracce dell'appello compaiono nei newsgroup it.economia.borsa.*, it.lavoro.professioni.webmaster e it.comp.macintosh il 18 maggio 2003. L'appello è talvolta datato 16 maggio 2003.

Precisazioni tecniche

L'appello descrive una situazione soltanto apparentemente simile a quella (reale) verificatasi ad agosto del 2002 a proposito di una vulnerabilità della Google Toolbar di Internet Explorer, descritta ad esempio presso http://news.zdnet.co.uk/story/0,,t281-s2120613,00.html, e da tempo ampiamente corretta. In quel caso, soltanto chi usava Internet Explorer e aveva installato la Google Toolbar, versione 1.1.58 o precedenti, era vulnerabile. Ma l'appello parla di "programmi pirata" residenti nei server di Google, mentre la vulnerabilità della Toolbar eseguiva uno script residente in un e-mail o in un sito Web ostile, non in Google.

Ringraziamenti

Un grazie particolare a paodan, che ha contribuito all'indagine.