Virus e Trojan
Archived Posts from this Category
Abbiamo provveduto alla consegna del suo animale domestico
Scritto da pieru il 07 Set 2015 | Archiviato in: Servizi, Virus e Trojan
Oddio, la mia gatta! Che è successo? Leggendo meglio si capisce che la signora Taratelli non sta parlando della mia gatta ma di un altro animale domestico che ha spedito a mezzo corriere espresso! Un animale domestico spedito col corriere???!!!
Vi devo dire cosa succede cliccando sul link?
Gentile Cliente,
grazie ancora per aver adottato un nostro animale domestico!
Il tuo ordine AJ44KBF05é stato spedito a mezzo corriere apposito
Potrai controllare lo stato della tua spedizione cliccando sul seguente link :
DETTAGLIO ORDINE
Questo è l’indirizzo di posta elettronica al quale provvederemo all’invio della fattura www.***.net@***.netLucia Taratelli
Animal Shop Center – Roma
Image by huoadg5888 from Pixabay
Spam certificato
Scritto da pieru il 12 Set 2014 | Archiviato in: Virus e Trojan
Oggi mi arriva una mail ma non una di quelle “normali”, nientepopòdimenoche una email certificata, inviata da un indirizzo vero e verificabile. L’oggetto della mail è “foto” e in allegato è contenuto un file zip che contiene, manco a dirlo, un trojan e non le foto di una bella ragazza in abiti discinti.
Questa mail non è stata inviata soltanto a me ma anche a qualche decina di altri destinatari, probabilmente centinaia, forse migliaia.
Qual è il problema con questa mail? In realtà ce ne sono due. Piaccia o meno la posta certificata in Italia viene usata, soprattutto in ambito legale e aziendale. Tendenzialmente chi riceve una missiva di questo tipo tende a fidarsi, essendo l’equivalente informatico di una raccomandata queste email so per esperienza che vengono aperte. Il rischio quindi che uno zelante contabile, non tanto esperto informaticamente, apra e mandi in esecuzione l’allegato mandando in esecuzione il trojano e infettando la rete aziendale è piuttosto alto.
Il secondo problema è legato al mittente, l’azienda euro-mac infatti è certificata come mittente, non ci sono scuse, sono stati loro. Più realisticamente qualcuno è riuscito a fregargli le password e ha iniziato a inviare email a loro nome. Supponiamo che siano state inviate 10.000 email di spam e supponiamo che lo 0,1% di chi la riceve si incazzi (i contabili tendono a essere permalosi quando vengono fregati). Già stando molto bassi in numeri e percentuali abbiamo una decina di contabili piuttosto arrabbiati che, per una volta, possono prendere carta e penna e chiedere un risarcimento. Possono farlo in molti modi, uno di questi è rivolgersi al garante della privacy o peggio. Ci sono ottime probabilità di spuntare 500 euro veloci veloci.
L’azienda euro-mac si troverà a dover pagare 5000 euro oltre a dover perdere una marea di tempo a dare spiegazioni. Come se non bastasse questa azienda si ritroverà con la casella di posta elettronica inutilizzabile quindi non potrà ricevere (o farà molta fatica a farlo) eventuali vere comunicazioni importanti.
La prossima volta che qualcuno vi dice “a chi vuoi che interessino le password del mio pc, io non ho niente da nascondere” portate questo nuovo esempio. Sono in tanti a volervi fregare le password, i danni che possono fare sono parecchi e un comportamento superficiale può costare parecchio.
Veniamo subito al punto!
Scritto da pieru il 01 Ago 2014 | Archiviato in: Virus e Trojan
Questa ragazza cipriota non ha evidentemente tempo da perdere e arriva subito al punto:
Ciao ciao! 06.07.201418:52:34 Mi chiamo Hera from Cyprus. Look my foto in archive and answer...see you I like your profile
Come dire: apri l’allegato che dentro ci trovi il paradiso. L’allegato è un file zipo che contiene un file, uiphotoset.scr
E’ un trucchetto che alcuni anni fa funzionava particolarmente bene ma che sembra essere ancora in voga. Lo spammer prova una tecnica di aggiramento, non manda un file .exe, troppo facilmente riconoscibile, non abbocca più nessuno. L’allegato è un .scr ovvero uno screensaver, anche in questo caso si tratta di un file che viene eseguito da windows (il trojan è efficace solo su sistemi operativi windows) e che contiene un cavallo di troja con il quale l’aggressore prende il controllo della macchina da remoto.
Hera va dritta al sodo, senza neanche un bacino prima!
Una fattura decisamente salata…
Scritto da pieru il 14 Ago 2011 | Archiviato in: Report, Virus e Trojan
Ricevo una mail con oggetto decisamente poco simpatico: "Fattura". Per varie vicende sono rimasto solo in ufficio questo ferragosto, così mi ritrovo a dover controllare parecchi indirizzi email e scopro che sono arrivate decine di mail con oggetto più o meno simile: Fattura 799986, Fattura, Factura, Invoice nr…
Ok, è chiaramente spam ma mi ha incuriosito. Diamo un’occhiata ai mittenti: CFX Group, Invoice, billing… il server di partenza sembra essere sempre lo stesso: 85.94.214.178 che corrisponde a un server di seeweb situato in centro Italia.
Vediamo cosa vogliono di bello: il corpo della mail è più o meno sempre lo stesso:
Gentile utente, vvvx@dominio.it.
La fattura deve essere pagato fino alla prossima settimana.
Dettagli possono essere trovati all’indirizzo:
http://www.scilipoti.altervista.org/information/Invoice.zip?IndexInformaCode730083
Cambia l’indirizzo da cliccare di seguito un altro paio di varianti:
http://creazioniclaudia.com/includes/information/Invoice.zip?IndexInformaCode687036257618418
http://kreso.it/information/Invoice.zip?CompanyNameutente@dominio.it
http://imperialfoggia.it/conto/Pagamento.zip?id=31474321901563659
Vediamo velocemente i 4 ip dei siti linkati: 78.46.45.86 (germania) 85.94.207.72 (Italia) 67.215.65.132 (Italia) 46.28.2.35 (Europa Occidentale)
Non sono nemmeno andato a controllare i legittimi proprietari dei domini linkati, ammesso e non concesso che siano rintracciabili sono sicuramente inconsapevoli di quello che sta succedendo e probabilmente verranno avvertiti dal loro provider nelle prossime ore. In altre parole, quasi sicuramente il loro sito è stato craccato per far far scaricare il file che analizzeremo a breve ai boccaloni alle vittime.
Cominciamo a tradurre: si tratta di spam che invita a visitare un sito con indirizzo moooooolto sospetto. Nei 4 casi che ho esaminato la mail è partita dallo stesso server, italiano. Lo spam invita a cliccare su siti diversi, ospitati su server diversi, parecchio lontano da loro, anche fisicamente.
Che succede cliccando sul link? Si viene invitati a scaricare un allegato, qui confesso di essere rimasto un po’ deluso perchè mi aspettavo qualcosa di meglio. Il nome del file è fattura.doc_____________________________________________.exe
Chiaro il trucchetto no? La vera estensione del file è .exe ma ormai nemmeno l’ultimo dei rimbambiti sotto l’effetto del solleone e di qualche birra di troppo aprire senza pensarci un file con estensione .exe (o almeno lo spero). Quindi hanno usato questo trucchetto di nascondere visivamente la vera estensione del file (.exe) e usando come nome dei file fattura.doc seguita da un consistente numero di caratteri di sottolineatura. In altre parole un utente distratto ha l’impressione di trovarsi di fronte a un documento di word e si sente relativamente tranquillo. L’impressione di falsa tranquillità è irrobustita anche dal fatto che il file viene presentato in windows con l’icona dei documenti di word ma non voglio annoiarvi oltre, è solo un trucco. Riassumiamo: sembra un documento word, in realtà è un eseguibile.
Ormai ho scoperto il trucco, giusto per scrupolo passo il file ad avast per scoprire che razza di bestia han cercato di propinarmi e …. ORRORE!!! Avast non rileva minacce!!!!
A questo punto sfodero l’artiglieria pesante e approfitto per segnalare una risorsa preziosa: faccio analizzare il file a VirusTotal, è un tool gratuito che analizza il file che inviate da esaminare con numerosi antivirus, praticamente tutti quelli più diffusi e qui vi incollo il report:
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2011.08.14.00 | 2011.08.14 | – |
| AntiVir | 7.11.13.37 | 2011.08.12 | – |
| Antiy-AVL | 2.0.3.7 | 2011.08.14 | – |
| Avast | 4.8.1351.0 | 2011.08.14 | – |
| Avast5 | 5.0.677.0 | 2011.08.14 | – |
| AVG | 10.0.0.1190 | 2011.08.14 | – |
| BitDefender | 7.2 | 2011.08.14 | – |
| CAT-QuickHeal | 11.00 | 2011.08.13 | – |
| ClamAV | 0.97.0.0 | 2011.08.14 | – |
| Commtouch | 5.3.2.6 | 2011.08.14 | – |
| Comodo | 9747 | 2011.08.14 | TrojWare.Win32.Trojan.Agent.Gen |
| DrWeb | 5.0.2.03300 | 2011.08.14 | Trojan.PWS.Panda.550 |
| Emsisoft | 5.1.0.8 | 2011.08.14 | – |
| eSafe | 7.0.17.0 | 2011.08.14 | – |
| eTrust-Vet | 36.1.8499 | 2011.08.12 | – |
| F-Prot | 4.6.2.117 | 2011.08.14 | – |
| F-Secure | 9.0.16440.0 | 2011.08.14 | – |
| Fortinet | 4.2.257.0 | 2011.08.14 | – |
| GData | 22 | 2011.08.14 | – |
| Ikarus | T3.1.1.107.0 | 2011.08.14 | – |
| Jiangmin | 13.0.900 | 2011.08.14 | – |
| K7AntiVirus | 9.109.5010 | 2011.08.12 | – |
| Kaspersky | 9.0.0.837 | 2011.08.14 | HEUR:Trojan.Win32.Generic |
| McAfee | 5.400.0.1158 | 2011.08.14 | Artemis!01205E059002 |
| McAfee-GW-Edition | 2010.1D | 2011.08.14 | Artemis!01205E059002 |
| Microsoft | 1.7104 | 2011.08.14 | PWS:Win32/Zbot |
| NOD32 | 6377 | 2011.08.14 | a variant of Win32/Kryptik.RPK |
| Norman | 6.07.10 | 2011.08.14 | – |
| nProtect | 2011-08-14.01 | 2011.08.14 | – |
| Panda | 10.0.3.5 | 2011.08.14 | – |
| PCTools | 8.0.0.5 | 2011.08.14 | – |
| Prevx | 3.0 | 2011.08.14 | – |
| Rising | 23.70.04.03 | 2011.08.12 | – |
| Sophos | 4.67.0 | 2011.08.14 | Mal/Zbot-CX |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.08.13 | – |
| Symantec | 20111.2.0.82 | 2011.08.14 | Suspicious.Cloud |
| TheHacker | 6.7.0.1.276 | 2011.08.13 | – |
| TrendMicro | 9.500.0.1008 | 2011.08.14 | – |
| TrendMicro-HouseCall | 9.500.0.1008 | 2011.08.14 | – |
| VBA32 | 3.12.16.4 | 2011.08.13 | – |
| VIPRE | 10162 | 2011.08.14 | Virtool.Win32.Obfuscator.da!g (v) |
| ViRobot | 2011.8.13.4621 | 2011.08.14 | – |
| VirusBuster | 14.0.168.0 | 2011.08.14 | – |
Vogliamo guardare con attenzione: solo dieci antivirus su un totale di quarantatre hanno riconosciuto il malware. 10/43, il 23%.
Eccoci arrivati alle due conclusioni fondamentali:
- Non tutto è come sembra. Un file che sembra un documento word non è detto che sia veramente un documento word, così come un file che sembra la foto di bonazza pettoruta non è detto che lo sia.
- Il preservativo non sostituisce il giubbetto antiproiettile. Fuor di metafora, la miglior protezione per il vostro computer è il vostro cervello, usatelo. Avere un buon antivirus aggiornato è una cosa ottima ma questo non autorizza a scliccazzare a destra e sinistra senza ragionare.
Se siete curiosi di sapere come mai io scliccazzo senza troppi timori la risposta è semplice: io uso linux 🙂
Messaggero di spam
Scritto da ludus il 12 Feb 2009 | Archiviato in: Virus e Trojan
Il titolo è un gioco di parole.
Perché il messaggio che ho ricevuto sembra provenire dal quotidiano Il Messaggero.
Passiamo subito al messaggio:
Incidenti stradali in Australia e Per?: muoiono sei italiani
ROMA (11 febbraio) – Tre turisti italiani sono morti tra le fiamme in un incidente stradale avvenuto in Australia, mentre altri tre connazionali sono rimasti vittime, in Per?, di un incidente che ha provocato la morte di 21 persone e il ferimento di altre 79.
Tre morti e un ferito in Australia.Nell’incidente avvenuto intorno alle 15, ore locali, a 55 chilometri a sud della cittadina di Mackay, ? rimasta gravemente ferita Carlotta Bettini, ricoverata nell’ospedale di Mackay. La 26enne abita a Reggio Emilia ma ? originaria di Rovereto.
Incidente sorpreso telecamere Clicca qui »
© 2007-09 Il Messaggero – C.F. e P. IVA 05629251009 .
Il Messaggero
Cominciamo dal titolo: Tre turisti italiani sono morti tra le fiamme in un incidente stradale. Inganna, poiché è scritto in perfetto italiano.
http://64.208.28.197/ldr.exe
che lancia un eseguibile…
Per concludere: gli spammer stanno diventando sempre più abili, quindi non solo attenzione al testo, ma anche e soprattutto ai link in cui sarete invitati a cliccare.
Estratto conto via mail
Scritto da pieru il 20 Giu 2008 | Archiviato in: Virus e Trojan
Accidenti mi è arrivato l’estratto conto via mail. Comodissimo. Questo il corpo della mail in questione:
Gentile Cliente ,
Sperando di farle cosa gradita, le abbiamo inviato in formato elettronico il suo Estrattoconto.
Voglia prendere visione dell’allegato e confermarci la correttezza dei movimenti registrati.
L’iniziativa EstrattoConto VErde , è una misura adottata per il risparmio delle energie non rinnovabili. Attraverso la mancata emissione del Classico E/C cartaceo, siamo a testimoniare un risparmio considerevole non che il nostro impegno per la salvaguardia per il pianeta !
Distinti Saluti
Sistema Automatizzato
E/C Verde (t)
*************
Tutte Le informazioni contenute nella presente mail si ntendono di cartattere riservato . vogliate quindi premurarvi di non diffondere in alcun modo le informazioni riportatevi.
Test Antivirus Effettuato da KasperSKYZ Av. Sign. 12/06/2008 V.1.0
Un momento però: io non ho mai richiesto nessun estratto conto online, la "firma" in fondo alla mail potrebbe benissimo essere contraffatta e poi che diavolo sarebbe questo E/C verde? Probabilmente una trovata per far sembrare legittima e plausibile la mal arrivata … in allegato un file .zip contenente due file, uno inutile e un estrattoconto.exe che, ovviamente, contiene un software maligno, per la precisione un trojoano che il mio McAfee identifica come un "Generic VA.b".
Vale la regola generale: mai aprire allegati inattesi, sempre verificare attentamente con un software antivirus aggiornato.