Virus e Trojan
Archived Posts from this Category
Una fattura decisamente salata…
Scritto da pieru il 14 ago 2011 | Archiviato in: Report, Virus e Trojan
Ricevo una mail con oggetto decisamente poco simpatico: "Fattura". Per varie vicende sono rimasto solo in ufficio questo ferragosto, così mi ritrovo a dover controllare parecchi indirizzi email e scopro che sono arrivate decine di mail con oggetto più o meno simile: Fattura 799986, Fattura, Factura, Invoice nr…
Ok, è chiaramente spam ma mi ha incuriosito. Diamo un’occhiata ai mittenti: CFX Group, Invoice, billing… il server di partenza sembra essere sempre lo stesso: 85.94.214.178 che corrisponde a un server di seeweb situato in centro Italia.
Vediamo cosa vogliono di bello: il corpo della mail è più o meno sempre lo stesso:
Gentile utente, vvvx@dominio.it.
La fattura deve essere pagato fino alla prossima settimana.
Dettagli possono essere trovati all’indirizzo:
http://www.scilipoti.altervista.org/information/Invoice.zip?IndexInformaCode730083
Cambia l’indirizzo da cliccare di seguito un altro paio di varianti:
http://creazioniclaudia.com/includes/information/Invoice.zip?IndexInformaCode687036257618418
http://kreso.it/information/Invoice.zip?CompanyNameutente@dominio.it
http://imperialfoggia.it/conto/Pagamento.zip?id=31474321901563659
Vediamo velocemente i 4 ip dei siti linkati: 78.46.45.86 (germania) 85.94.207.72 (Italia) 67.215.65.132 (Italia) 46.28.2.35 (Europa Occidentale)
Non sono nemmeno andato a controllare i legittimi proprietari dei domini linkati, ammesso e non concesso che siano rintracciabili sono sicuramente inconsapevoli di quello che sta succedendo e probabilmente verranno avvertiti dal loro provider nelle prossime ore. In altre parole, quasi sicuramente il loro sito è stato craccato per far far scaricare il file che analizzeremo a breve ai boccaloni alle vittime.
Cominciamo a tradurre: si tratta di spam che invita a visitare un sito con indirizzo moooooolto sospetto. Nei 4 casi che ho esaminato la mail è partita dallo stesso server, italiano. Lo spam invita a cliccare su siti diversi, ospitati su server diversi, parecchio lontano da loro, anche fisicamente.
Che succede cliccando sul link? Si viene invitati a scaricare un allegato, qui confesso di essere rimasto un po’ deluso perchè mi aspettavo qualcosa di meglio. Il nome del file è fattura.doc_____________________________________________.exe
Chiaro il trucchetto no? La vera estensione del file è .exe ma ormai nemmeno l’ultimo dei rimbambiti sotto l’effetto del solleone e di qualche birra di troppo aprire senza pensarci un file con estensione .exe (o almeno lo spero). Quindi hanno usato questo trucchetto di nascondere visivamente la vera estensione del file (.exe) e usando come nome dei file fattura.doc seguita da un consistente numero di caratteri di sottolineatura. In altre parole un utente distratto ha l’impressione di trovarsi di fronte a un documento di word e si sente relativamente tranquillo. L’impressione di falsa tranquillità è irrobustita anche dal fatto che il file viene presentato in windows con l’icona dei documenti di word ma non voglio annoiarvi oltre, è solo un trucco. Riassumiamo: sembra un documento word, in realtà è un eseguibile.
Ormai ho scoperto il trucco, giusto per scrupolo passo il file ad avast per scoprire che razza di bestia han cercato di propinarmi e …. ORRORE!!! Avast non rileva minacce!!!!
A questo punto sfodero l’artiglieria pesante e approfitto per segnalare una risorsa preziosa: faccio analizzare il file a VirusTotal, è un tool gratuito che analizza il file che inviate da esaminare con numerosi antivirus, praticamente tutti quelli più diffusi e qui vi incollo il report:
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2011.08.14.00 | 2011.08.14 | - |
| AntiVir | 7.11.13.37 | 2011.08.12 | - |
| Antiy-AVL | 2.0.3.7 | 2011.08.14 | - |
| Avast | 4.8.1351.0 | 2011.08.14 | - |
| Avast5 | 5.0.677.0 | 2011.08.14 | - |
| AVG | 10.0.0.1190 | 2011.08.14 | - |
| BitDefender | 7.2 | 2011.08.14 | - |
| CAT-QuickHeal | 11.00 | 2011.08.13 | - |
| ClamAV | 0.97.0.0 | 2011.08.14 | - |
| Commtouch | 5.3.2.6 | 2011.08.14 | - |
| Comodo | 9747 | 2011.08.14 | TrojWare.Win32.Trojan.Agent.Gen |
| DrWeb | 5.0.2.03300 | 2011.08.14 | Trojan.PWS.Panda.550 |
| Emsisoft | 5.1.0.8 | 2011.08.14 | - |
| eSafe | 7.0.17.0 | 2011.08.14 | - |
| eTrust-Vet | 36.1.8499 | 2011.08.12 | - |
| F-Prot | 4.6.2.117 | 2011.08.14 | - |
| F-Secure | 9.0.16440.0 | 2011.08.14 | - |
| Fortinet | 4.2.257.0 | 2011.08.14 | - |
| GData | 22 | 2011.08.14 | - |
| Ikarus | T3.1.1.107.0 | 2011.08.14 | - |
| Jiangmin | 13.0.900 | 2011.08.14 | - |
| K7AntiVirus | 9.109.5010 | 2011.08.12 | - |
| Kaspersky | 9.0.0.837 | 2011.08.14 | HEUR:Trojan.Win32.Generic |
| McAfee | 5.400.0.1158 | 2011.08.14 | Artemis!01205E059002 |
| McAfee-GW-Edition | 2010.1D | 2011.08.14 | Artemis!01205E059002 |
| Microsoft | 1.7104 | 2011.08.14 | PWS:Win32/Zbot |
| NOD32 | 6377 | 2011.08.14 | a variant of Win32/Kryptik.RPK |
| Norman | 6.07.10 | 2011.08.14 | - |
| nProtect | 2011-08-14.01 | 2011.08.14 | - |
| Panda | 10.0.3.5 | 2011.08.14 | - |
| PCTools | 8.0.0.5 | 2011.08.14 | - |
| Prevx | 3.0 | 2011.08.14 | - |
| Rising | 23.70.04.03 | 2011.08.12 | - |
| Sophos | 4.67.0 | 2011.08.14 | Mal/Zbot-CX |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.08.13 | - |
| Symantec | 20111.2.0.82 | 2011.08.14 | Suspicious.Cloud |
| TheHacker | 6.7.0.1.276 | 2011.08.13 | - |
| TrendMicro | 9.500.0.1008 | 2011.08.14 | - |
| TrendMicro-HouseCall | 9.500.0.1008 | 2011.08.14 | - |
| VBA32 | 3.12.16.4 | 2011.08.13 | - |
| VIPRE | 10162 | 2011.08.14 | Virtool.Win32.Obfuscator.da!g (v) |
| ViRobot | 2011.8.13.4621 | 2011.08.14 | - |
| VirusBuster | 14.0.168.0 | 2011.08.14 | - |
Vogliamo guardare con attenzione: solo dieci antivirus su un totale di quarantatre hanno riconosciuto il malware. 10/43, il 23%.
Eccoci arrivati alle due conclusioni fondamentali:
- Non tutto è come sembra. Un file che sembra un documento word non è detto che sia veramente un documento word, così come un file che sembra la foto di bonazza pettoruta non è detto che lo sia.
- Il preservativo non sostituisce il giubbetto antiproiettile. Fuor di metafora, la miglior protezione per il vostro computer è il vostro cervello, usatelo. Avere un buon antivirus aggiornato è una cosa ottima ma questo non autorizza a scliccazzare a destra e sinistra senza ragionare.
Se siete curiosi di sapere come mai io scliccazzo senza troppi timori la risposta è semplice: io uso linux 
Messaggero di spam
Scritto da ludus il 12 feb 2009 | Archiviato in: Virus e Trojan
Il titolo è un gioco di parole.
Perché il messaggio che ho ricevuto sembra provenire dal quotidiano Il Messaggero.
Passiamo subito al messaggio:
Incidenti stradali in Australia e Per?: muoiono sei italiani
ROMA (11 febbraio) – Tre turisti italiani sono morti tra le fiamme in un incidente stradale avvenuto in Australia, mentre altri tre connazionali sono rimasti vittime, in Per?, di un incidente che ha provocato la morte di 21 persone e il ferimento di altre 79.
Tre morti e un ferito in Australia.Nell’incidente avvenuto intorno alle 15, ore locali, a 55 chilometri a sud della cittadina di Mackay, ? rimasta gravemente ferita Carlotta Bettini, ricoverata nell’ospedale di Mackay. La 26enne abita a Reggio Emilia ma ? originaria di Rovereto.
Incidente sorpreso telecamere Clicca qui »
© 2007-09 Il Messaggero – C.F. e P. IVA 05629251009 .
Il Messaggero
Cominciamo dal titolo: Tre turisti italiani sono morti tra le fiamme in un incidente stradale. Inganna, poiché è scritto in perfetto italiano.
http://64.208.28.197/ldr.exe
che lancia un eseguibile…
Per concludere: gli spammer stanno diventando sempre più abili, quindi non solo attenzione al testo, ma anche e soprattutto ai link in cui sarete invitati a cliccare.
Estratto conto via mail
Scritto da pieru il 20 giu 2008 | Archiviato in: Virus e Trojan
Accidenti mi è arrivato l’estratto conto via mail. Comodissimo. Questo il corpo della mail in questione:
Gentile Cliente ,
Sperando di farle cosa gradita, le abbiamo inviato in formato elettronico il suo Estrattoconto.
Voglia prendere visione dell’allegato e confermarci la correttezza dei movimenti registrati.
L’iniziativa EstrattoConto VErde , è una misura adottata per il risparmio delle energie non rinnovabili. Attraverso la mancata emissione del Classico E/C cartaceo, siamo a testimoniare un risparmio considerevole non che il nostro impegno per la salvaguardia per il pianeta !
Distinti Saluti
Sistema Automatizzato
E/C Verde (t)
*************
Tutte Le informazioni contenute nella presente mail si ntendono di cartattere riservato . vogliate quindi premurarvi di non diffondere in alcun modo le informazioni riportatevi.
Test Antivirus Effettuato da KasperSKYZ Av. Sign. 12/06/2008 V.1.0
Un momento però: io non ho mai richiesto nessun estratto conto online, la "firma" in fondo alla mail potrebbe benissimo essere contraffatta e poi che diavolo sarebbe questo E/C verde? Probabilmente una trovata per far sembrare legittima e plausibile la mal arrivata … in allegato un file .zip contenente due file, uno inutile e un estrattoconto.exe che, ovviamente, contiene un software maligno, per la precisione un trojoano che il mio McAfee identifica come un "Generic VA.b".
Vale la regola generale: mai aprire allegati inattesi, sempre verificare attentamente con un software antivirus aggiornato.