Ricevo una mail con oggetto decisamente poco simpatico: "Fattura". Per varie vicende sono rimasto solo in ufficio questo ferragosto, così mi ritrovo a dover controllare parecchi indirizzi email e scopro che sono arrivate decine di mail con oggetto più o meno simile: Fattura 799986, Fattura, Factura, Invoice nr…

Ok, è chiaramente spam ma mi ha incuriosito. Diamo un’occhiata ai mittenti: CFX Group, Invoice, billing… il server di partenza sembra essere sempre lo stesso: 85.94.214.178 che corrisponde a un server di seeweb situato in centro Italia.

Vediamo cosa vogliono di bello: il corpo della mail è più o meno sempre lo stesso:

Gentile utente, vvvx@dominio.it.
La fattura deve essere pagato fino alla prossima settimana.
Dettagli possono essere trovati all’indirizzo:
http://www.scilipoti.altervista.org/information/Invoice.zip?IndexInformaCode730083

Cambia l’indirizzo da cliccare di seguito un altro paio di varianti:
http://creazioniclaudia.com/includes/information/Invoice.zip?IndexInformaCode687036257618418
http://kreso.it/information/Invoice.zip?CompanyNameutente@dominio.it
http://imperialfoggia.it/conto/Pagamento.zip?id=31474321901563659

Vediamo velocemente i 4 ip dei siti linkati: 78.46.45.86 (germania) 85.94.207.72 (Italia) 67.215.65.132 (Italia) 46.28.2.35 (Europa Occidentale)

Non sono nemmeno andato a controllare i legittimi proprietari dei domini linkati, ammesso e non concesso che siano rintracciabili sono sicuramente inconsapevoli di quello che sta succedendo e probabilmente verranno avvertiti dal loro provider nelle prossime ore. In altre parole, quasi sicuramente il loro sito è stato craccato per far far scaricare il file che analizzeremo a breve ai boccaloni alle vittime.

Cominciamo a tradurre: si tratta di spam che invita a visitare un sito con indirizzo moooooolto sospetto. Nei 4 casi che ho esaminato la mail è partita dallo stesso server, italiano. Lo spam invita a cliccare su siti diversi, ospitati su server diversi, parecchio lontano da loro, anche fisicamente.

Che succede cliccando sul link? Si viene invitati a scaricare un allegato, qui confesso di essere rimasto un po’ deluso perchè mi aspettavo qualcosa di meglio. Il nome del file è fattura.doc_____________________________________________.exe

Chiaro il trucchetto no? La vera estensione del file è .exe ma ormai nemmeno l’ultimo dei rimbambiti sotto l’effetto del solleone e di qualche birra di troppo aprire senza pensarci un file con estensione .exe (o almeno lo spero). Quindi hanno usato questo trucchetto di nascondere visivamente la vera estensione del file (.exe) e usando come nome dei file fattura.doc seguita da un consistente numero di caratteri di sottolineatura. In altre parole un utente distratto ha l’impressione di trovarsi di fronte a un documento di word e si sente relativamente tranquillo. L’impressione di falsa tranquillità è irrobustita anche dal fatto che il file viene presentato in windows con l’icona dei documenti di word ma non voglio annoiarvi oltre, è solo un trucco. Riassumiamo: sembra un documento word, in realtà è un eseguibile.

Ormai ho scoperto il trucco, giusto per scrupolo passo il file ad avast per scoprire che razza di bestia han cercato di propinarmi e …. ORRORE!!! Avast non rileva minacce!!!!

A questo punto sfodero l’artiglieria pesante e approfitto per segnalare una risorsa preziosa: faccio analizzare il file a VirusTotal, è un tool gratuito che analizza il file che inviate da esaminare con numerosi antivirus, praticamente tutti quelli più diffusi e qui vi incollo il report:

 

Antivirus Version Last Update Result
AhnLab-V3 2011.08.14.00 2011.08.14
AntiVir 7.11.13.37 2011.08.12
Antiy-AVL 2.0.3.7 2011.08.14
Avast 4.8.1351.0 2011.08.14
Avast5 5.0.677.0 2011.08.14
AVG 10.0.0.1190 2011.08.14
BitDefender 7.2 2011.08.14
CAT-QuickHeal 11.00 2011.08.13
ClamAV 0.97.0.0 2011.08.14
Commtouch 5.3.2.6 2011.08.14
Comodo 9747 2011.08.14 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.08.14 Trojan.PWS.Panda.550
Emsisoft 5.1.0.8 2011.08.14
eSafe 7.0.17.0 2011.08.14
eTrust-Vet 36.1.8499 2011.08.12
F-Prot 4.6.2.117 2011.08.14
F-Secure 9.0.16440.0 2011.08.14
Fortinet 4.2.257.0 2011.08.14
GData 22 2011.08.14
Ikarus T3.1.1.107.0 2011.08.14
Jiangmin 13.0.900 2011.08.14
K7AntiVirus 9.109.5010 2011.08.12
Kaspersky 9.0.0.837 2011.08.14 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.08.14 Artemis!01205E059002
McAfee-GW-Edition 2010.1D 2011.08.14 Artemis!01205E059002
Microsoft 1.7104 2011.08.14 PWS:Win32/Zbot
NOD32 6377 2011.08.14 a variant of Win32/Kryptik.RPK
Norman 6.07.10 2011.08.14
nProtect 2011-08-14.01 2011.08.14
Panda 10.0.3.5 2011.08.14
PCTools 8.0.0.5 2011.08.14
Prevx 3.0 2011.08.14
Rising 23.70.04.03 2011.08.12
Sophos 4.67.0 2011.08.14 Mal/Zbot-CX
SUPERAntiSpyware 4.40.0.1006 2011.08.13
Symantec 20111.2.0.82 2011.08.14 Suspicious.Cloud
TheHacker 6.7.0.1.276 2011.08.13
TrendMicro 9.500.0.1008 2011.08.14
TrendMicro-HouseCall 9.500.0.1008 2011.08.14
VBA32 3.12.16.4 2011.08.13
VIPRE 10162 2011.08.14 Virtool.Win32.Obfuscator.da!g (v)
ViRobot 2011.8.13.4621 2011.08.14
VirusBuster 14.0.168.0 2011.08.14


Vogliamo guardare con attenzione: solo dieci antivirus su un totale di quarantatre hanno riconosciuto il malware. 10/43, il 23%.

Eccoci arrivati alle due conclusioni fondamentali:

  1. Non tutto è come sembra. Un file che sembra un documento word non è detto che sia veramente un documento word, così come un file che sembra la foto di bonazza pettoruta non è detto che lo sia.
  2. Il preservativo non sostituisce il giubbetto antiproiettile. Fuor di metafora, la miglior protezione per il vostro computer è il vostro cervello, usatelo. Avere un buon antivirus aggiornato è una cosa ottima ma questo non autorizza a scliccazzare a destra e sinistra senza ragionare.

Se siete curiosi di sapere come mai io scliccazzo senza troppi timori la risposta è semplice: io uso linux 🙂