2011
Archivio annuale
Attacco “non convenzionale” agli spammer?
Scritto da pieru il 10 Set 2011 | Archiviato in: Informazioni
Le soluzioni informatiche si stanno rivelando inefficaci, tutti i tentativi di combattere lo spam con metodi informatici ha fallito, ha controindicazioni ed è comunque probabile che non riesca ad eliminare il problema alla radice.
Uno studio effettuato da due università americane sembra suggerire un metodo particolarmente astuto: lo spam esiste perchè è redditizio, anche se poco efficiente. Lo spammer tipico impiega qualche milione di messaggi per raggranellare poche centinaia di dollari, dal momento che di messaggi spam ne genera miliardi lo spammer riesce a guadagnare tanto. Lo studio evidenzia che le ditte pubblicizzate con lo spam si appoggiano a un numero estremamente limitato di banche per le loro vendite. E si si bloccassero alla radice, impedendo alle banche di accettare pagamenti online fatti da siti spammer? Il fiume di spazzatura si arginerebbe rapidamente perchè, ripetiamolo ancora una volta, lo spam esiste solo e soltanto perchè è redditizio, quando non lo sarà più smetterà di esistere.
Una fattura decisamente salata…
Scritto da pieru il 14 Ago 2011 | Archiviato in: Report, Virus e Trojan
Ricevo una mail con oggetto decisamente poco simpatico: "Fattura". Per varie vicende sono rimasto solo in ufficio questo ferragosto, così mi ritrovo a dover controllare parecchi indirizzi email e scopro che sono arrivate decine di mail con oggetto più o meno simile: Fattura 799986, Fattura, Factura, Invoice nr…
Ok, è chiaramente spam ma mi ha incuriosito. Diamo un’occhiata ai mittenti: CFX Group, Invoice, billing… il server di partenza sembra essere sempre lo stesso: 85.94.214.178 che corrisponde a un server di seeweb situato in centro Italia.
Vediamo cosa vogliono di bello: il corpo della mail è più o meno sempre lo stesso:
Gentile utente, vvvx@dominio.it.
La fattura deve essere pagato fino alla prossima settimana.
Dettagli possono essere trovati all’indirizzo:
http://www.scilipoti.altervista.org/information/Invoice.zip?IndexInformaCode730083
Cambia l’indirizzo da cliccare di seguito un altro paio di varianti:
http://creazioniclaudia.com/includes/information/Invoice.zip?IndexInformaCode687036257618418
http://kreso.it/information/Invoice.zip?CompanyNameutente@dominio.it
http://imperialfoggia.it/conto/Pagamento.zip?id=31474321901563659
Vediamo velocemente i 4 ip dei siti linkati: 78.46.45.86 (germania) 85.94.207.72 (Italia) 67.215.65.132 (Italia) 46.28.2.35 (Europa Occidentale)
Non sono nemmeno andato a controllare i legittimi proprietari dei domini linkati, ammesso e non concesso che siano rintracciabili sono sicuramente inconsapevoli di quello che sta succedendo e probabilmente verranno avvertiti dal loro provider nelle prossime ore. In altre parole, quasi sicuramente il loro sito è stato craccato per far far scaricare il file che analizzeremo a breve ai boccaloni alle vittime.
Cominciamo a tradurre: si tratta di spam che invita a visitare un sito con indirizzo moooooolto sospetto. Nei 4 casi che ho esaminato la mail è partita dallo stesso server, italiano. Lo spam invita a cliccare su siti diversi, ospitati su server diversi, parecchio lontano da loro, anche fisicamente.
Che succede cliccando sul link? Si viene invitati a scaricare un allegato, qui confesso di essere rimasto un po’ deluso perchè mi aspettavo qualcosa di meglio. Il nome del file è fattura.doc_____________________________________________.exe
Chiaro il trucchetto no? La vera estensione del file è .exe ma ormai nemmeno l’ultimo dei rimbambiti sotto l’effetto del solleone e di qualche birra di troppo aprire senza pensarci un file con estensione .exe (o almeno lo spero). Quindi hanno usato questo trucchetto di nascondere visivamente la vera estensione del file (.exe) e usando come nome dei file fattura.doc seguita da un consistente numero di caratteri di sottolineatura. In altre parole un utente distratto ha l’impressione di trovarsi di fronte a un documento di word e si sente relativamente tranquillo. L’impressione di falsa tranquillità è irrobustita anche dal fatto che il file viene presentato in windows con l’icona dei documenti di word ma non voglio annoiarvi oltre, è solo un trucco. Riassumiamo: sembra un documento word, in realtà è un eseguibile.
Ormai ho scoperto il trucco, giusto per scrupolo passo il file ad avast per scoprire che razza di bestia han cercato di propinarmi e …. ORRORE!!! Avast non rileva minacce!!!!
A questo punto sfodero l’artiglieria pesante e approfitto per segnalare una risorsa preziosa: faccio analizzare il file a VirusTotal, è un tool gratuito che analizza il file che inviate da esaminare con numerosi antivirus, praticamente tutti quelli più diffusi e qui vi incollo il report:
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2011.08.14.00 | 2011.08.14 | – |
| AntiVir | 7.11.13.37 | 2011.08.12 | – |
| Antiy-AVL | 2.0.3.7 | 2011.08.14 | – |
| Avast | 4.8.1351.0 | 2011.08.14 | – |
| Avast5 | 5.0.677.0 | 2011.08.14 | – |
| AVG | 10.0.0.1190 | 2011.08.14 | – |
| BitDefender | 7.2 | 2011.08.14 | – |
| CAT-QuickHeal | 11.00 | 2011.08.13 | – |
| ClamAV | 0.97.0.0 | 2011.08.14 | – |
| Commtouch | 5.3.2.6 | 2011.08.14 | – |
| Comodo | 9747 | 2011.08.14 | TrojWare.Win32.Trojan.Agent.Gen |
| DrWeb | 5.0.2.03300 | 2011.08.14 | Trojan.PWS.Panda.550 |
| Emsisoft | 5.1.0.8 | 2011.08.14 | – |
| eSafe | 7.0.17.0 | 2011.08.14 | – |
| eTrust-Vet | 36.1.8499 | 2011.08.12 | – |
| F-Prot | 4.6.2.117 | 2011.08.14 | – |
| F-Secure | 9.0.16440.0 | 2011.08.14 | – |
| Fortinet | 4.2.257.0 | 2011.08.14 | – |
| GData | 22 | 2011.08.14 | – |
| Ikarus | T3.1.1.107.0 | 2011.08.14 | – |
| Jiangmin | 13.0.900 | 2011.08.14 | – |
| K7AntiVirus | 9.109.5010 | 2011.08.12 | – |
| Kaspersky | 9.0.0.837 | 2011.08.14 | HEUR:Trojan.Win32.Generic |
| McAfee | 5.400.0.1158 | 2011.08.14 | Artemis!01205E059002 |
| McAfee-GW-Edition | 2010.1D | 2011.08.14 | Artemis!01205E059002 |
| Microsoft | 1.7104 | 2011.08.14 | PWS:Win32/Zbot |
| NOD32 | 6377 | 2011.08.14 | a variant of Win32/Kryptik.RPK |
| Norman | 6.07.10 | 2011.08.14 | – |
| nProtect | 2011-08-14.01 | 2011.08.14 | – |
| Panda | 10.0.3.5 | 2011.08.14 | – |
| PCTools | 8.0.0.5 | 2011.08.14 | – |
| Prevx | 3.0 | 2011.08.14 | – |
| Rising | 23.70.04.03 | 2011.08.12 | – |
| Sophos | 4.67.0 | 2011.08.14 | Mal/Zbot-CX |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.08.13 | – |
| Symantec | 20111.2.0.82 | 2011.08.14 | Suspicious.Cloud |
| TheHacker | 6.7.0.1.276 | 2011.08.13 | – |
| TrendMicro | 9.500.0.1008 | 2011.08.14 | – |
| TrendMicro-HouseCall | 9.500.0.1008 | 2011.08.14 | – |
| VBA32 | 3.12.16.4 | 2011.08.13 | – |
| VIPRE | 10162 | 2011.08.14 | Virtool.Win32.Obfuscator.da!g (v) |
| ViRobot | 2011.8.13.4621 | 2011.08.14 | – |
| VirusBuster | 14.0.168.0 | 2011.08.14 | – |
Vogliamo guardare con attenzione: solo dieci antivirus su un totale di quarantatre hanno riconosciuto il malware. 10/43, il 23%.
Eccoci arrivati alle due conclusioni fondamentali:
- Non tutto è come sembra. Un file che sembra un documento word non è detto che sia veramente un documento word, così come un file che sembra la foto di bonazza pettoruta non è detto che lo sia.
- Il preservativo non sostituisce il giubbetto antiproiettile. Fuor di metafora, la miglior protezione per il vostro computer è il vostro cervello, usatelo. Avere un buon antivirus aggiornato è una cosa ottima ma questo non autorizza a scliccazzare a destra e sinistra senza ragionare.
Se siete curiosi di sapere come mai io scliccazzo senza troppi timori la risposta è semplice: io uso linux 🙂
Lo spammer torna sempre sul luogo del delitto…
Scritto da pieru il 08 Ago 2011 | Archiviato in: Informazioni
Non ha saputo resistere alla tentazione, Spamford Wallace ci è ricascato e si è connesso a facebook durante un volo in aereo tra Las Vegas e New York. In passato era passato al "disonore" delle cronache per la sua condanna esemplare: 700 milioni di dollari e il divieto di collegarsi ai social network per aver inviato diversi milioni di messaggi spazzatura agli utenti facebook.
Ci è ricascato, è stato colto con le mani nel sacco e ora rischia addirittura 40 anni di carcere.