Una fattura decisamente salata…
Scritto da pieru il 14 Ago 2011 alle 11:30 pm | Archiviato in: Report, Virus e Trojan
Ricevo una mail con oggetto decisamente poco simpatico: "Fattura". Per varie vicende sono rimasto solo in ufficio questo ferragosto, così mi ritrovo a dover controllare parecchi indirizzi email e scopro che sono arrivate decine di mail con oggetto più o meno simile: Fattura 799986, Fattura, Factura, Invoice nr…
Ok, è chiaramente spam ma mi ha incuriosito. Diamo un’occhiata ai mittenti: CFX Group, Invoice, billing… il server di partenza sembra essere sempre lo stesso: 85.94.214.178 che corrisponde a un server di seeweb situato in centro Italia.
Vediamo cosa vogliono di bello: il corpo della mail è più o meno sempre lo stesso:
Gentile utente, vvvx@dominio.it.
La fattura deve essere pagato fino alla prossima settimana.
Dettagli possono essere trovati all’indirizzo:
http://www.scilipoti.altervista.org/information/Invoice.zip?IndexInformaCode730083
Cambia l’indirizzo da cliccare di seguito un altro paio di varianti:
http://creazioniclaudia.com/includes/information/Invoice.zip?IndexInformaCode687036257618418
http://kreso.it/information/Invoice.zip?CompanyNameutente@dominio.it
http://imperialfoggia.it/conto/Pagamento.zip?id=31474321901563659
Vediamo velocemente i 4 ip dei siti linkati: 78.46.45.86 (germania) 85.94.207.72 (Italia) 67.215.65.132 (Italia) 46.28.2.35 (Europa Occidentale)
Non sono nemmeno andato a controllare i legittimi proprietari dei domini linkati, ammesso e non concesso che siano rintracciabili sono sicuramente inconsapevoli di quello che sta succedendo e probabilmente verranno avvertiti dal loro provider nelle prossime ore. In altre parole, quasi sicuramente il loro sito è stato craccato per far far scaricare il file che analizzeremo a breve ai boccaloni alle vittime.
Cominciamo a tradurre: si tratta di spam che invita a visitare un sito con indirizzo moooooolto sospetto. Nei 4 casi che ho esaminato la mail è partita dallo stesso server, italiano. Lo spam invita a cliccare su siti diversi, ospitati su server diversi, parecchio lontano da loro, anche fisicamente.
Che succede cliccando sul link? Si viene invitati a scaricare un allegato, qui confesso di essere rimasto un po’ deluso perchè mi aspettavo qualcosa di meglio. Il nome del file è fattura.doc_____________________________________________.exe
Chiaro il trucchetto no? La vera estensione del file è .exe ma ormai nemmeno l’ultimo dei rimbambiti sotto l’effetto del solleone e di qualche birra di troppo aprire senza pensarci un file con estensione .exe (o almeno lo spero). Quindi hanno usato questo trucchetto di nascondere visivamente la vera estensione del file (.exe) e usando come nome dei file fattura.doc seguita da un consistente numero di caratteri di sottolineatura. In altre parole un utente distratto ha l’impressione di trovarsi di fronte a un documento di word e si sente relativamente tranquillo. L’impressione di falsa tranquillità è irrobustita anche dal fatto che il file viene presentato in windows con l’icona dei documenti di word ma non voglio annoiarvi oltre, è solo un trucco. Riassumiamo: sembra un documento word, in realtà è un eseguibile.
Ormai ho scoperto il trucco, giusto per scrupolo passo il file ad avast per scoprire che razza di bestia han cercato di propinarmi e …. ORRORE!!! Avast non rileva minacce!!!!
A questo punto sfodero l’artiglieria pesante e approfitto per segnalare una risorsa preziosa: faccio analizzare il file a VirusTotal, è un tool gratuito che analizza il file che inviate da esaminare con numerosi antivirus, praticamente tutti quelli più diffusi e qui vi incollo il report:
Antivirus | Version | Last Update | Result |
---|---|---|---|
AhnLab-V3 | 2011.08.14.00 | 2011.08.14 | – |
AntiVir | 7.11.13.37 | 2011.08.12 | – |
Antiy-AVL | 2.0.3.7 | 2011.08.14 | – |
Avast | 4.8.1351.0 | 2011.08.14 | – |
Avast5 | 5.0.677.0 | 2011.08.14 | – |
AVG | 10.0.0.1190 | 2011.08.14 | – |
BitDefender | 7.2 | 2011.08.14 | – |
CAT-QuickHeal | 11.00 | 2011.08.13 | – |
ClamAV | 0.97.0.0 | 2011.08.14 | – |
Commtouch | 5.3.2.6 | 2011.08.14 | – |
Comodo | 9747 | 2011.08.14 | TrojWare.Win32.Trojan.Agent.Gen |
DrWeb | 5.0.2.03300 | 2011.08.14 | Trojan.PWS.Panda.550 |
Emsisoft | 5.1.0.8 | 2011.08.14 | – |
eSafe | 7.0.17.0 | 2011.08.14 | – |
eTrust-Vet | 36.1.8499 | 2011.08.12 | – |
F-Prot | 4.6.2.117 | 2011.08.14 | – |
F-Secure | 9.0.16440.0 | 2011.08.14 | – |
Fortinet | 4.2.257.0 | 2011.08.14 | – |
GData | 22 | 2011.08.14 | – |
Ikarus | T3.1.1.107.0 | 2011.08.14 | – |
Jiangmin | 13.0.900 | 2011.08.14 | – |
K7AntiVirus | 9.109.5010 | 2011.08.12 | – |
Kaspersky | 9.0.0.837 | 2011.08.14 | HEUR:Trojan.Win32.Generic |
McAfee | 5.400.0.1158 | 2011.08.14 | Artemis!01205E059002 |
McAfee-GW-Edition | 2010.1D | 2011.08.14 | Artemis!01205E059002 |
Microsoft | 1.7104 | 2011.08.14 | PWS:Win32/Zbot |
NOD32 | 6377 | 2011.08.14 | a variant of Win32/Kryptik.RPK |
Norman | 6.07.10 | 2011.08.14 | – |
nProtect | 2011-08-14.01 | 2011.08.14 | – |
Panda | 10.0.3.5 | 2011.08.14 | – |
PCTools | 8.0.0.5 | 2011.08.14 | – |
Prevx | 3.0 | 2011.08.14 | – |
Rising | 23.70.04.03 | 2011.08.12 | – |
Sophos | 4.67.0 | 2011.08.14 | Mal/Zbot-CX |
SUPERAntiSpyware | 4.40.0.1006 | 2011.08.13 | – |
Symantec | 20111.2.0.82 | 2011.08.14 | Suspicious.Cloud |
TheHacker | 6.7.0.1.276 | 2011.08.13 | – |
TrendMicro | 9.500.0.1008 | 2011.08.14 | – |
TrendMicro-HouseCall | 9.500.0.1008 | 2011.08.14 | – |
VBA32 | 3.12.16.4 | 2011.08.13 | – |
VIPRE | 10162 | 2011.08.14 | Virtool.Win32.Obfuscator.da!g (v) |
ViRobot | 2011.8.13.4621 | 2011.08.14 | – |
VirusBuster | 14.0.168.0 | 2011.08.14 | – |
Vogliamo guardare con attenzione: solo dieci antivirus su un totale di quarantatre hanno riconosciuto il malware. 10/43, il 23%.
Eccoci arrivati alle due conclusioni fondamentali:
- Non tutto è come sembra. Un file che sembra un documento word non è detto che sia veramente un documento word, così come un file che sembra la foto di bonazza pettoruta non è detto che lo sia.
- Il preservativo non sostituisce il giubbetto antiproiettile. Fuor di metafora, la miglior protezione per il vostro computer è il vostro cervello, usatelo. Avere un buon antivirus aggiornato è una cosa ottima ma questo non autorizza a scliccazzare a destra e sinistra senza ragionare.
Se siete curiosi di sapere come mai io scliccazzo senza troppi timori la risposta è semplice: io uso linux 🙂
Lo stesso metodo ma link dalla Francia, clonando adirittura un sito. Quanto tempo sprecato per un virus!
Per il momento anch’io sono immune perchè uso linux!
Ciao e buon ferragosto!
Stefano
Altra ondata oggi, sempre stessa origine ma con nuove deliziose fragranze:
Re: Corp. invoice from Anic Corp.
Re: Intercompany invoice from Boyd Gaming Corp.
Re: Intercompany invoice from Miltek Corp.
Re: Inter-company inv. from Novellus Systems Corp.
Re: Intercompany inv. from ATFT Corp.
Re: Intercompany invoice from Brookdale Senior Living Corp.
Re: Intercompany inv. from Hyland Software Corp.
Re: Intercompany invoice from WLC Corp.
Re: Corp. invoice from OSN Corp.
Re: Intercompany invoice from AMR Corporation Corp.
In alcuni casi il trojan è spedito in allegato, in altri la mail contiene il link. Ci sono anche casi “buffi” di mail senza allegati e senza link, ho controllato nei vari log e l’allegato non è stato rimosso, se lo sono proprio dimenticato! Spammer distratti 🙂
Buon ferragosto a tutti!
Anch’io l’ho ricevuta. questo il testo:
Gentile utente, xxxxxxx@yyyyyyyyy.it.
Monte Biz Tel./Fax.: (055) 597 73 23.
E necessario leggere e firmare il disegno di legge.
xhttp://creazioniclaudia.com/includes/information/Invoice.zip?IndexInformaCode203309003345302
id 280449
io uso anche linux e anche xp e vista ma nella specie ero in Vista.
Ma prima di aprire ho cercato il dominio su Google e mi ha indicato questo pregevole sito.
Grazie.
(in ogni caso non avrei aperto un .zip sconosciuto)
Mi dispiace, ho stupidamente copiato il link. Per favore chiedo al moderatore di cancellarlo o renderlo non eseguibile (hai visto mai qualcuno volesse cliccarci su)
aggiungo che ne ho trovata un’altra.
Questa recita
Buongiorno, xxxxxxxx@yyyyyyyyy.it.
La fattura deve essere pagato fino alla prossima settimana.
Dettagli possono essere trovati all’indirizzo:
xhttp://www.demagri.com——————
Pare che si stia diffondendo velocemente
Link disattivati e grazie per la segnalazione. Ne stanno arrivando a grappoli, molto simili.
Arrivato in azienda e qualcuno ha abboccato….
era la versione dentro il file zippato allegata alla mail.
Comodo (la versione precedente…) lo ha fatto passare come acqua fresca
Il malware apre un fantomatico antivurus che blocca gran parte dei programmi eseguibili Task Manager ecc…
Vi spiego come l’ho eliminato in 3 minuti da XP:
ho fatto il restart in modalità provvisoria ed il bastardo parte anche da lì
Ho lanciato i miei tools preferiti di Sysinternals (autoruns e process explorer)…
con autoruns ho trovato le 3 istanze del malware che partono in automatico, una è svchost.exe le altre due sono un file nsn.exe depositato nella cartella utente di document and settings.
Prima di eliminare le 3 istanze con process explorer ho killato il processo nsn.exe ed il svchost.exe incriminato; per capire quale era dei 5 svchost in funzione è bastato guardare i dettagli di ciascuno: in genere è sempre l’ultimo a partire (quello con la ID più alta) ed il tutto è stato confermato dalle proprietà di questo processo che in effetti faceva uso delle dll crypt…., quindi era quello e l’ho killato
A questo punto torno su autoruns ed elimino tutte le 3 istanze di start.
FATTO!
Poi per divertimento vado a prendere il file nsn.exe e lo invio a Virustotal: solo 9 su 43 lo identificano
Ho ricevuto una email che mi puzza moltissimo.
Cercando info su google sono arrivato quì.
L’email riporta questo testo:
Buongiorno , xxxx@xx.it.
Si prega di notare che hai una fattura no pagata.
Dettagli
xhttp://caseva.es/conto/Pagamento.zip?id=432378
Esiste un portale Immobiliare di Varese con lo stesso nome solo che ha la desinenza .it
Caseva.es corriponde ad un portale spagnolo.
– Primo dubbio –
Tento di aprire e scaricare l’allegato, ma mi appare il seguente messaggio ” il download di Pagamentozip. non è sicuro e quindi è stato bloccato dal filtro SMARTSCREEN ”
Secondo ed ultimo dubbio con certezza
Vorrei analizzare l’header, come posso fare?
Qualcuni lo sa leggere ed interpretare?
Info . . . Grazie 1000!
Ciao Willy,
la mail che hai ricevuto somiglia moltissimo a quella che abbiamo analizzato.
Per visualizzare l’header della mail devi usare l’apposita funzione del programma di posta che stai utilizzando, per esempio su thunderbird devi fare Visualizza->sorgente del messaggio
X pieru,
da molto tempo non scarico più la posta sul pc. E’ una questione di scelta,comodità e forse poco più sicurezza.
Uso + pc ed ovunque mi trovi la leggo direttamente dal server del mio provvider ( Libero, ecc.ecc. ).
Comunque, se nulla osta, con il permesso dell’admin togliendo i miei dati personali posso postare l’header anche quì.
Vediamo se qualcuno riesce ad interpretarla ed a fornire ulteriori info a quelle già presentate.
Aggiungo che personalmente mi piacerebbe molto imparare a leggere e ad interpretare l’header.
Nel sito esiste una sezione apposita ?
Grazie 🙂
Leggendo un post precedente ho pensato di passare il famigerato link a Virustotal.com ed ho ottenuto i risultati che seguono. Da rilevare che qualche antivirus ha toppato,mentre per la maggioranza i risultati discordano tra loro.
Antivirus
Version
Last Update
Result
AhnLab-V3
2011.08.20.00
2011.08.19
Spyware/Win32.Zbot
AntiVir
7.11.13.154
2011.08.19
TR/PSW.Zbot.3477
Antiy-AVL
2.0.3.7
2011.08.19
Trojan/Win32.Zbot.gen
Avast
4.8.1351.0
2011.08.19
Win32:Trojan-gen
Avast5
5.0.677.0
2011.08.19
Win32:Trojan-gen
AVG
10.0.0.1190
2011.08.19
Generic24.TYO
BitDefender
7.2
2011.08.19
Trojan.Generic.6438246
ByteHero
1.0.0.1
2011.08.20
Trojan.Win32.Heur.Gen
CAT-QuickHeal
11.00
2011.08.19
–
ClamAV
0.97.0.0
2011.08.19
Suspect.DoubleExtension-zippwd-7
Commtouch
5.3.2.6
2011.08.19
–
Comodo
9803
2011.08.19
TrojWare.Win32.Trojan.Agent.Gen
DrWeb
5.0.2.03300
2011.08.20
Trojan.PWS.Panda.550
Emsisoft
5.1.0.10
2011.08.19
Trojan-Spy.Win32.Zbot!IK
eSafe
7.0.17.0
2011.08.18
–
eTrust-Vet
36.1.8511
2011.08.19
–
F-Prot
4.6.2.117
2011.08.19
–
F-Secure
9.0.16440.0
2011.08.19
Trojan.Generic.6438246
Fortinet
4.2.257.0
2011.08.19
W32/Zbot.CBEV!tr
GData
22
2011.08.19
Trojan.Generic.6438246
Ikarus
T3.1.1.107.0
2011.08.19
Trojan-Spy.Win32.Zbot
Jiangmin
13.0.900
2011.08.19
Trojan/Generic.jyjf
K7AntiVirus
9.109.5030
2011.08.18
–
Kaspersky
9.0.0.837
2011.08.19
Trojan-Spy.Win32.Zbot.cbev
McAfee
5.400.0.1158
2011.08.19
Generic Malware.a!zip
McAfee-GW-Edition
2010.1D
2011.08.19
Generic Malware.a!zip
Microsoft
1.7604
2011.08.19
PWS:Win32/Zbot
NOD32
6394
2011.08.19
a variant of Win32/Kryptik.RRC
Norman
6.07.10
2011.08.19
W32/Zbot.XND
nProtect
2011-08-19.01
2011.08.19
Gen:Variant.Kazy.34157
Panda
10.0.3.5
2011.08.19
Generic Trojan
PCTools
8.0.0.5
2011.08.19
–
Prevx
3.0
2011.08.20
–
Rising
23.71.03.03
2011.08.18
Trojan.Win32.Generic.128CB645
Sophos
4.68.0
2011.08.19
Mal/Zbot-CX
SUPERAntiSpyware
4.40.0.1006
2011.08.19
Trojan.Agent/Gen-Falcomp.Process
Symantec
20111.2.0.82
2011.08.19
Infostealer.Banker.C
TheHacker
6.7.0.1.281
2011.08.19
Trojan/Spy.Zbot.cbev
TrendMicro
9.500.0.1008
2011.08.17
–
TrendMicro-HouseCall
9.500.0.1008
2011.08.20
–
VBA32
3.12.16.4
2011.08.19
–
VIPRE
10212
2011.08.19
Virtool.Win32.Obfuscator.da!g (v)
ViRobot
2011.8.19.4629
2011.08.19
–
VirusBuster
14.0.177.0
2011.08.19
TrojanSpy.Zbot!YCU1LHr3dI4
@willy: se vuoi postare l’header non ci sono problemi, sono uno dei due admin per cui puoi considerarti ufficialmente autorizzato. Non c’è una sezione apposita nel sito anche perchè le informazioni che si possono ricavare dall’header non sono poi così tante. Diverso il discorso se, ad esempio, hai così tanti casi da esaminare che sugli header riesci a fare una statistica ma non è questo il nostro caso.
Magari potrebbe essere utile per individuare qualcosa di sospetto per un neofita ma dubito che un neofita si metta a guardare gli header, per definizione 🙂
Ok pieru.
ecco l’header incriminato. Solitamente, seppur neofita, ho preso l’abitudine di curiosarci. Ad esempio quante email con l’indicazione che “la tua carta di credito Postepay . . . ” riproducendo fedelmente il sito delle poste. Poi vai a curiosare l’header e ti accorgi che il link che ti prometteva una verifica del tuo conto ti porta altrove !
>>>>>>°>
Segue lheader incriminata. Ho cecatodi cancellare i numeri con delle “x” per non identificare il mio IP.Per problemi di spam, in fase di approvazione ti autorizzo a cancellare le parti che portano al mio IP
>>>>>°>
Return-Path:
Received: from mailrelay01.libero.it (192.xxx.xx.xxx) by ims3e9.libero.it (8.6.015.08)
id 4DF9C74901B86973 for xxxxxx@iol.it; Thu, 18 Aug 2011 04:13:28 +0200
Received: from mtalibero16.libero.it (EHLO mtalibero16.libero.it) ([192.xxx.xx.xxx])
by mailrelay01.libero.it
with ESMTP id EIF51593;
Thu, 18 Aug 2011 04:13:28 +0200 (CEST)
Authentication-Results: mtalibero16.libero.it; dkim=neutral (message not signed) header.i=none
Received-SPF: SoftFail identity=mailfrom; client-ip=83.243.45.2;
(spedito dal Nederland mediante un server della Germania ? Giusto? )
receiver=mtalibero16.libero.it;
envelope-from=”Supportpay@plaestrategicgranollers.cat”;
x-sender=”Supportpay@plaestrategicgranollers.cat”;
x-conformance=spf_only;
x-record-type=”v=spf1″
X-LREMOTE-IP: 83.243.45.2
Received: from shell1.powershells.de (HELO shell1) ([83.243.45.2])
by mtalibero16.libero.it with ESMTP; 18 Aug 2011 02:13:28 +0000
Received: from [83.243.45.2] by shell1 id Ki6xvwtZL7Wc; Thu, 18 Aug 2011 04:13:26 +0200
Message-ID:
From: “CFX Group.”
To:
Subject: Fwd: Rispondi
Date: 18/08/2011 4.13
MIME-Version: 1.0
Content-Type: text/plain;
charset=”windows-1252″
Content-Transfer-Encoding: 8bit
X-Junkmail-Status: score=10/55, host=mailrelay01.libero.it
X-Junkmail-Signature-Raw: score=unknown,
refid=str=0001.0A0B020D.4E4C7548.00CC,ss=1,re=0.000,fgs=0,
ip=83.243.45.2,
so=2011-06-21 16:49:39,
dmn=2011-06-08 23:29:05,
mode=multiengine
X-Junkmail-IWF: false
X-Mirapoint-Virus-RAPID-Raw: score=unknown(0),
refid=str=0001.0A0B020D.4E4C7548.00CC,ss=1,re=0.000,fgs=0,
ip=83.243.45.2,
so=2011-06-21 16:49:39,
dmn=2011-06-08 23:29:05
X-Mirapoint-Loop-Id: 5c24c154cec53076711b57064f5fbd02
X-libjamoibt: 2587
ho forse inoltrato dei dati non corretti?
willy: colpa mia, in questi giorni stiamo cambiando server quindi un po’ il caldo un po’ la stanchezza mi ero dimenticato di approvare il tuo commento, scusa.
Ciao a tutti, sono il pollo che vuoi la noncuranza, vuoi la fiducia sul controllo di avg, vuoi la fretta di controllare e spegnere il pc, ha fatto partire quel finto doc e si è fatto mandare in pallone win7…
L’effetto è stravagante, windows si avvia (o quasi) ma al termine del caricamento non ho desktop o barra delle applicazione nè nient altro ma posso accedere alla gestione attività con un ctrl alt canc.
Cosa posso fare?
Grazie
anch’io nel dubbio di questa mail sono finita qui,e io sono una di quelle boccalone di solito(e non ci capisco nulla di virus antivurus,insomma,sono una frana),ma stavolta la “fattura” mi puzzava,mezza ricerca e il num di tel mi portava in svizzera,ma puzzava ancora e sono finità qui…..meno male!!!!grazie 🙂
Ho letto l’articolo dopo aver ricevuto la stessa mail, in pratica ogni volta che ricevo una mail di spam come quella di cfx prima di qualsiasi cosa faccio una ricerca su web …e trovo questi bellissimi articoli che ti spiegano come funziona la truffa su internet. Volevo solo complimentarmi per la spiegazione chiara e precisa.
Ho fatto come Giorgio. Non ho neppure aperto la mail. Grazie e complimenti.
anche a me stamane ne è arrivata una Gentile utente,
Siete stati fatturati. Numero 69759128.
Essa dovra essere versata in un prossimo futuro
File Pdf con i dettagli necessari per il download all’indirizzo:
recruitpeak.com/riferire/riferire.zip
però aggiungo provenendo da una truffa di quelle vere alla quale insieme a tanti altri cybernauti stiamo dando battaglia che potremmo tutti firmare la petizione al link:
netalert.wordpress.com/
che obbligherebbe (non lo so) o comunque ci permetterebbe di far pressioni affinchè chi di dovere emetta delle regole che impediscano al primo cretino che si crede furbo di far danni in rete
agli admin ….. mannaggia ho copiato tutto , vogliate rendere inefficace il link degli imbecilli e vi prego di scusarmi di nuovo
L ho aperta su ipad2 avrò conseguenze? Il,file ____________exe. O solo Windows?
Tranquillo 😉
Gli eseguibili windows funzionano solo su windows, non credo proprio che la cosa ti darà problemi. Attenzione però che usare sistemi operativi NON Microsoft non significa essere invulnerabili 🙂
Salve quasi certamente sono uno dei pollacioni che ci e’ cascato. Ho trovato nello spam una mail con scritto ” salve xxx xxxxx su richiesta le inviamo copia della fattura.” In realta’ era un eseguibile.zip. Che io al massimo della furbizia ho aperto sul tablet samsung. Il guaio e’ che non riesco a capire in quali guai posso essere incappato. Sono un utente amazon e sono solito fare acquisti su web.
Mi potete indicare come posso correreai ripari. Grazie e saluti Roberto
Controlla con attenzione il tablet, ci sono vari sistemi per diagnosticare se ci sono stati problemi.
In realtà la maggior parte di virus, trojan e compagnia bella è progettata per
fare dannifunzionare su windows. Un sistema android (o linux, apple, ios) non viene quindi infettato da un software pensato per compromettere sistemi windows.Questo non significa che si può abbassare la guardia: potrebbe essere solo questione di tempo prima che software malevoli comincino a diffondersi su altri sistemi, man mano che questi diventano popolari e quindi appetibili per spammer e truffatori vari.
Ciao.
La mia domanda è :
Da dove hanno preso il mio nome e cognome ?
Non ne ho mai scaricato uno di file, ma me ne inviano diversi al giorno.
Chi gli dà l’indirizzo con il nome???
Stamattina mia sorella mi ha inoltrato una mail.
Ingenuamente ho cliccato sul link ..***.biz/ pagamento.zip
il file lo scaricato sia sul telefonino che sul tablet samsung “sistema operativo android”.
il messaggio è stato il seguente “non è stato possibile aprire il file”.
non ne capisco nulla qualcuno sa dirmi se ho infettato il telefonino e il tablet?
premetto io con questi oggetti eseguo home banking.
ho cancellato il file.
aiutatemi
Claudio, hanno un sacco di modi per saperlo. Per esempio intercettando qualche email in cui ci sei anche tu tra i destinatari, hai presente quegli appelli tipo: “per salvare i gattini del nord africa inoltra questo messaggio a tutti i tuoi amici”? Ecco, questo è uno dei modi, uno dei più diffusi.
Oppure possono “spazzolare” forum e siti vari in cerca di nomi e cognomi associati ad indirizzi email, ci sono software specializzati che fanno questo.
Purtroppo sono bravi!
Premesso che non posso essere sicuro al 100% vorrei tranquillizzarti. QUasi sicuramente il virus (il malware o quello che era) contenuto nel file zip era progettato per funzionare su un sistema windows. Sul android questo tipo di infezioni non funziona.
Insomma anche se non posso essere sicuro al 100% probabilmente per questa volta ti è andata bene!