Virus e Trojan

Archived Posts from this Category

Spam certificato

Scritto da il 12 Set 2014 | Archiviato in: Virus e Trojan

Oggi mi arriva una mail ma non una di quelle “normali”, nientepopòdimenoche una email certificata, inviata da un indirizzo vero e verificabile. L’oggetto della mail è “foto” e in allegato è contenuto un file zip che contiene, manco a dirlo, un trojan e non le foto di una bella ragazza in abiti discinti.

Questa mail non è stata inviata soltanto a me ma anche a qualche decina di altri destinatari, probabilmente centinaia, forse migliaia.

Qual è il problema con questa mail? In realtà ce ne sono due. Piaccia o meno la posta certificata in Italia viene usata, soprattutto in ambito legale e aziendale. Tendenzialmente chi riceve una missiva di questo tipo tende a fidarsi, essendo l’equivalente informatico di una raccomandata queste email so per esperienza che vengono aperte. Il rischio quindi che uno zelante contabile, non tanto esperto informaticamente, apra e mandi in esecuzione l’allegato mandando in esecuzione il trojano e infettando la rete aziendale è piuttosto alto.

Il secondo problema è legato al mittente, l’azienda euro-mac infatti è certificata come mittente, non ci sono scuse, sono stati loro. Più realisticamente qualcuno è riuscito a fregargli le password e ha iniziato a inviare email a loro nome. Supponiamo che siano state inviate 10.000 email di spam e supponiamo che lo 0,1% di chi la riceve si incazzi (i contabili tendono a essere permalosi quando vengono fregati). Già stando molto bassi in numeri e percentuali abbiamo una decina di contabili piuttosto arrabbiati che, per una volta, possono prendere carta e penna e chiedere un risarcimento. Possono farlo in molti modi, uno di questi è rivolgersi al garante della privacy o peggio. Ci sono ottime probabilità di spuntare 500 euro veloci veloci.

L’azienda euro-mac si troverà a dover pagare 5000 euro oltre a dover perdere una marea di tempo a dare spiegazioni. Come se non bastasse questa azienda si ritroverà con la casella di posta elettronica inutilizzabile quindi non potrà ricevere (o farà molta fatica a farlo) eventuali vere comunicazioni importanti.

La prossima volta che qualcuno vi dice “a chi vuoi che interessino le password del mio pc, io non ho niente da nascondere” portate questo nuovo esempio. Sono in tanti a volervi fregare le password, i danni che possono fare sono parecchi e un comportamento superficiale può costare parecchio.

Veniamo subito al punto!

Scritto da il 01 Ago 2014 | Archiviato in: Virus e Trojan

Questa ragazza cipriota non ha evidentemente tempo da perdere e arriva subito al punto:

Ciao ciao! 06.07.201418:52:34
Mi chiamo Hera from Cyprus. Look my foto in archive and answer...see you
I like your profile

 

Come dire: apri l’allegato che dentro ci trovi il paradiso. L’allegato è un file zipo che contiene un file, uiphotoset.scr

E’ un trucchetto che alcuni anni fa funzionava particolarmente bene ma che sembra essere ancora in voga. Lo spammer prova una tecnica di aggiramento, non manda un file .exe, troppo facilmente riconoscibile, non abbocca più nessuno. L’allegato è un .scr ovvero uno screensaver, anche in questo caso si tratta di un file che viene eseguito da windows (il trojan è efficace solo su sistemi operativi windows) e che contiene un cavallo di troja con il quale l’aggressore prende il controllo della macchina da remoto.

Hera va dritta al sodo, senza neanche un bacino prima!

Una fattura decisamente salata…

Scritto da il 14 Ago 2011 | Archiviato in: Report, Virus e Trojan

Ricevo una mail con oggetto decisamente poco simpatico: "Fattura". Per varie vicende sono rimasto solo in ufficio questo ferragosto, così mi ritrovo a dover controllare parecchi indirizzi email e scopro che sono arrivate decine di mail con oggetto più o meno simile: Fattura 799986, Fattura, Factura, Invoice nr…

Ok, è chiaramente spam ma mi ha incuriosito. Diamo un’occhiata ai mittenti: CFX Group, Invoice, billing… il server di partenza sembra essere sempre lo stesso: 85.94.214.178 che corrisponde a un server di seeweb situato in centro Italia.

Vediamo cosa vogliono di bello: il corpo della mail è più o meno sempre lo stesso:

Gentile utente, vvvx@dominio.it.
La fattura deve essere pagato fino alla prossima settimana.
Dettagli possono essere trovati all’indirizzo:
http://www.scilipoti.altervista.org/information/Invoice.zip?IndexInformaCode730083

Cambia l’indirizzo da cliccare di seguito un altro paio di varianti:
http://creazioniclaudia.com/includes/information/Invoice.zip?IndexInformaCode687036257618418
http://kreso.it/information/Invoice.zip?CompanyNameutente@dominio.it
http://imperialfoggia.it/conto/Pagamento.zip?id=31474321901563659

Vediamo velocemente i 4 ip dei siti linkati: 78.46.45.86 (germania) 85.94.207.72 (Italia) 67.215.65.132 (Italia) 46.28.2.35 (Europa Occidentale)

Non sono nemmeno andato a controllare i legittimi proprietari dei domini linkati, ammesso e non concesso che siano rintracciabili sono sicuramente inconsapevoli di quello che sta succedendo e probabilmente verranno avvertiti dal loro provider nelle prossime ore. In altre parole, quasi sicuramente il loro sito è stato craccato per far far scaricare il file che analizzeremo a breve ai boccaloni alle vittime.

Cominciamo a tradurre: si tratta di spam che invita a visitare un sito con indirizzo moooooolto sospetto. Nei 4 casi che ho esaminato la mail è partita dallo stesso server, italiano. Lo spam invita a cliccare su siti diversi, ospitati su server diversi, parecchio lontano da loro, anche fisicamente.

Che succede cliccando sul link? Si viene invitati a scaricare un allegato, qui confesso di essere rimasto un po’ deluso perchè mi aspettavo qualcosa di meglio. Il nome del file è fattura.doc_____________________________________________.exe

Chiaro il trucchetto no? La vera estensione del file è .exe ma ormai nemmeno l’ultimo dei rimbambiti sotto l’effetto del solleone e di qualche birra di troppo aprire senza pensarci un file con estensione .exe (o almeno lo spero). Quindi hanno usato questo trucchetto di nascondere visivamente la vera estensione del file (.exe) e usando come nome dei file fattura.doc seguita da un consistente numero di caratteri di sottolineatura. In altre parole un utente distratto ha l’impressione di trovarsi di fronte a un documento di word e si sente relativamente tranquillo. L’impressione di falsa tranquillità è irrobustita anche dal fatto che il file viene presentato in windows con l’icona dei documenti di word ma non voglio annoiarvi oltre, è solo un trucco. Riassumiamo: sembra un documento word, in realtà è un eseguibile.

Ormai ho scoperto il trucco, giusto per scrupolo passo il file ad avast per scoprire che razza di bestia han cercato di propinarmi e …. ORRORE!!! Avast non rileva minacce!!!!

A questo punto sfodero l’artiglieria pesante e approfitto per segnalare una risorsa preziosa: faccio analizzare il file a VirusTotal, è un tool gratuito che analizza il file che inviate da esaminare con numerosi antivirus, praticamente tutti quelli più diffusi e qui vi incollo il report:

 

Antivirus Version Last Update Result
AhnLab-V3 2011.08.14.00 2011.08.14
AntiVir 7.11.13.37 2011.08.12
Antiy-AVL 2.0.3.7 2011.08.14
Avast 4.8.1351.0 2011.08.14
Avast5 5.0.677.0 2011.08.14
AVG 10.0.0.1190 2011.08.14
BitDefender 7.2 2011.08.14
CAT-QuickHeal 11.00 2011.08.13
ClamAV 0.97.0.0 2011.08.14
Commtouch 5.3.2.6 2011.08.14
Comodo 9747 2011.08.14 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.08.14 Trojan.PWS.Panda.550
Emsisoft 5.1.0.8 2011.08.14
eSafe 7.0.17.0 2011.08.14
eTrust-Vet 36.1.8499 2011.08.12
F-Prot 4.6.2.117 2011.08.14
F-Secure 9.0.16440.0 2011.08.14
Fortinet 4.2.257.0 2011.08.14
GData 22 2011.08.14
Ikarus T3.1.1.107.0 2011.08.14
Jiangmin 13.0.900 2011.08.14
K7AntiVirus 9.109.5010 2011.08.12
Kaspersky 9.0.0.837 2011.08.14 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.08.14 Artemis!01205E059002
McAfee-GW-Edition 2010.1D 2011.08.14 Artemis!01205E059002
Microsoft 1.7104 2011.08.14 PWS:Win32/Zbot
NOD32 6377 2011.08.14 a variant of Win32/Kryptik.RPK
Norman 6.07.10 2011.08.14
nProtect 2011-08-14.01 2011.08.14
Panda 10.0.3.5 2011.08.14
PCTools 8.0.0.5 2011.08.14
Prevx 3.0 2011.08.14
Rising 23.70.04.03 2011.08.12
Sophos 4.67.0 2011.08.14 Mal/Zbot-CX
SUPERAntiSpyware 4.40.0.1006 2011.08.13
Symantec 20111.2.0.82 2011.08.14 Suspicious.Cloud
TheHacker 6.7.0.1.276 2011.08.13
TrendMicro 9.500.0.1008 2011.08.14
TrendMicro-HouseCall 9.500.0.1008 2011.08.14
VBA32 3.12.16.4 2011.08.13
VIPRE 10162 2011.08.14 Virtool.Win32.Obfuscator.da!g (v)
ViRobot 2011.8.13.4621 2011.08.14
VirusBuster 14.0.168.0 2011.08.14


Vogliamo guardare con attenzione: solo dieci antivirus su un totale di quarantatre hanno riconosciuto il malware. 10/43, il 23%.

Eccoci arrivati alle due conclusioni fondamentali:

  1. Non tutto è come sembra. Un file che sembra un documento word non è detto che sia veramente un documento word, così come un file che sembra la foto di bonazza pettoruta non è detto che lo sia.
  2. Il preservativo non sostituisce il giubbetto antiproiettile. Fuor di metafora, la miglior protezione per il vostro computer è il vostro cervello, usatelo. Avere un buon antivirus aggiornato è una cosa ottima ma questo non autorizza a scliccazzare a destra e sinistra senza ragionare.

Se siete curiosi di sapere come mai io scliccazzo senza troppi timori la risposta è semplice: io uso linux 🙂

Messaggero di spam

Scritto da il 12 Feb 2009 | Archiviato in: Virus e Trojan

Il titolo è un gioco di parole.

Perché il messaggio che ho ricevuto sembra provenire dal quotidiano Il Messaggero.

Passiamo subito al messaggio:

Incidenti stradali in Australia e Per?: muoiono sei italiani

ROMA (11 febbraio) – Tre turisti italiani sono morti tra le fiamme in un incidente stradale avvenuto in Australia, mentre altri tre connazionali sono rimasti vittime, in Per?, di un incidente che ha provocato la morte di 21 persone e il ferimento di altre 79.

Tre morti e un ferito in Australia.Nell’incidente avvenuto intorno alle 15, ore locali, a 55 chilometri a sud della cittadina di Mackay, ? rimasta gravemente ferita Carlotta Bettini, ricoverata nell’ospedale di Mackay. La 26enne abita a Reggio Emilia ma ? originaria di Rovereto.

Incidente sorpreso telecamere Clicca qui »

© 2007-09 Il Messaggero – C.F. e P. IVA 05629251009 .

Il Messaggero

Cominciamo dal titolo:  Tre turisti italiani sono morti tra le fiamme in un incidente stradale. Inganna, poiché è scritto in perfetto  italiano.

L’email di provenienza contact@ilmessaggero.it non esiste.

Nel testo ci sono dei caratteri non riconosciuti, ma questo non significa nulla. Il testo è inoltre corretto, poiché è stato preso dalla notizia apparsa nel sito del Messaggero.

La penultima riga anche è corretta, poiché presa dal sito.

Il testo che ho evidenziato in blu, invece, per far capire la frase che era linkata, non solo non significa nulla, ma punta verso questo sito:

http://64.208.28.197/ldr.exe

che lancia un eseguibile…

Per concludere: gli spammer stanno diventando sempre più abili, quindi non solo attenzione al testo, ma anche e soprattutto ai link in cui sarete invitati a cliccare.

Estratto conto via mail

Scritto da il 20 Giu 2008 | Archiviato in: Virus e Trojan

Accidenti mi è arrivato l’estratto conto via mail. Comodissimo. Questo il corpo della mail in questione:

Gentile Cliente ,

Sperando di farle cosa gradita, le abbiamo inviato in formato elettronico il suo Estrattoconto.

 

Voglia prendere visione dell’allegato e confermarci la correttezza dei movimenti registrati.

 

L’iniziativa EstrattoConto VErde , è una misura adottata per il risparmio delle energie non rinnovabili. Attraverso la mancata emissione del Classico E/C cartaceo, siamo a testimoniare un risparmio considerevole non che il nostro impegno per la salvaguardia per il pianeta !

Distinti Saluti

Sistema Automatizzato

E/C Verde (t)

 

 

*************

Tutte Le informazioni contenute nella presente mail si ntendono di cartattere riservato . vogliate quindi premurarvi di non diffondere in alcun modo le informazioni riportatevi.

 

Test Antivirus Effettuato da KasperSKYZ Av. Sign. 12/06/2008 V.1.0

Un momento però: io non ho mai richiesto nessun estratto conto online, la "firma" in fondo alla mail potrebbe benissimo essere contraffatta e poi che diavolo sarebbe questo E/C verde? Probabilmente una trovata per far sembrare legittima e plausibile la mal arrivata … in allegato un file .zip contenente due file, uno inutile e un estrattoconto.exe che, ovviamente, contiene un software maligno, per la precisione un trojoano che il mio McAfee identifica come un "Generic VA.b".

Vale la regola generale: mai aprire allegati inattesi, sempre verificare attentamente con un software antivirus aggiornato.

« Pagina precedente