| V I S U A L I Z Z A D I S C U S S I O N E |
| admin |
Inserito il - 01/12/2006 : 12:31:18
Attenti alla "diffida" dell'avvocato Gentili
__Una mail di un avvocato vi diffida dall'inviargli altra roba porno,
ma è una trappola__
Sto ricevendo moltissime segnalazioni di una mail di diffida che
sembra provenire dallo studio di un avvocato (di solito si chiama
Gentili) e intima di smettere di inviare e-mail oscene all'avvocato in
questione. Il tono è perentorio e la tattica è molto persuasiva, ma si
tratta di una trappola. Non rispondete al messaggio e non visitate il
sito citato nella "diffida".
Per non incappare nei filtri antispam, non cito qui il testo della
falsa diffida: lo trovate nella versione blog di questo articolo.
L'indirizzo dello "studio legale" cambia frequentemente (anche di
città: per esempio Genova, Firenze, Roma).
Si tratta di un tentativo molto ben confezionato di infettare le
vittime, usando la psicologia (in particolare l'intimidazione e la
paura dell'autorità e di conseguenze legali) per indurre chi riceve la
diffida ad abbandonare la normale prudenza e visitare i siti indicati
dal messaggio per scaricarne il promesso "antivirus" (che in realtà è
probabilmente tutt'altro).
Non esiste alcuno studio legale agli indirizzi citati, ma mi giunge
segnalazione di uno studio legale quasi omonimo situato a Roma (ma non
nella via indicata), che in questo momento è subissato di telefonate.
Non è la fonte di questo messaggio.
I siti-trappola citati dalla mail sono pressoché irraggiungibili,
probabilmente a causa del traffico di utenti nel panico generato da
questa campagna di attacco informatico, per cui non sono in grado al
momento di identificare il tipo di trappola informatica che si
incontra visitandoli: ma è certo che non vanno visitati e non
contengono software antivirale. Anzi, con tutta probabilità contengono
virus. Almeno uno di essi è situato in Russia.
Il messaggio in sé non sembra essere infettante, per cui è sufficiente
cestinarlo per non correre alcun pericolo.
---
Aggiornamento all'articolo di stamattina riguardante la mail-trappola
che sta facendo impazzire mezza Italia, quella contenente una falsa
diffida di un falso "avvocato Gentili": Nod32.it ha già messo a
disposizione gratuitamente un programma di pulitura (cleaner) su
misura per eliminare questo virus dai computer infetti. Il programma
di pulitura è scaricabile da qui:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=SpamBot
Ulteriori aggiornamenti saranno indicati nel blog:
http://attivissimo.blogspot.com
---
Il virus linkato nello spam di ieri, quello che si spaccia per una
diffida di un inesistente avvocato Gentili, è ora riconosciuto dal
test online di Kaspersky come Trojan-Dropper.Win32.Agent.azv (grazie a
gianluca81 per la segnalazione).
Da Luca, di Nod32.it, ricevo delle info tecniche sul virus ospitato
presso i siti-trappola indicati nel messaggio di spam. Il file si
chiama removal_tool.exe, occupa 70144 byte ed è compresso con UPX. Se
eseguito, installa una libreria dinamica (DLL) con il nome webdesk.dll
nella cartella di sistema predefinita di Windows.
La DLL viene installata come Browser Helper Object di Internet
Explorer, ovvero come modulo che verrà caricato da IE ad ogni avvio.
La DLL ha una dimensione di 46080 byte ed è compressa con il programma
UPX. Entrambe i file eseguibili, EXE e DLL, sono scritti con il
compilatore Visual C++. Probabilmente si tratta di un'infezione che ha
funzioni di spyware, dice Luca.
La DLL, se scompattata, rivela la presenza di numerose stringhe di
testo, che non riporto qui per evitare i filtri antispam ma che
trovate nella versione blog di questo articolo. Secondo Luca, le
stringhe sono chiare indicazioni del fatto che si tratta di un malware
italiano, compresa l'inquietante presenza di attivissimo.net in una
lista di siti.
Altre stringhe trovate da Luca indicano che è il virus è chiaramente
confezionato su misura per il mercato italiano: per esempio, le frasi
"Sono stati rimossi i seguenti virus: Evil mailer 1.0.87" e "Non sono
stati rilevati virus. Virus Killer 5.1", che presumibilmente sono i
falsi messaggi che visualizza il virus per spacciarsi come antivirus.
__Trusted Computing a Camerino__
Domani sarò a Camerino (MC), alla Facoltà di Giurisprudenza, via
Gentile III da Varano, per una lezione su "Censura tramite chip:
Trusted Computing, diritti digitali dei fruitori violati tramite le
nuove tecnologie", nell'ambito del Master universitario Diritto,
Economia e Tecnologie Informatiche
(http://web.unicam.it/ssdici/master.html). La sessione è riservata
agli iscritti, ma possiamo incontrarci prima o dopo, se siete da
quelle parti. Fatevi vivi via mail al solito topone@pobox.com.
Ciao da Paolo
--
---------------------
Paolo Attivissimo
topone@pobox.com
www.attivissimo.net
---------------------
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
