|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24851 Messaggi |
 Inserito il - 08/12/2005 : 13:50:30
|
Attenti allo strano minispam virale che promette filmati
divertenti
by Paolo Attivissimo
A partire dalle prime ore di oggi, un curioso mini-messaggio sta
riempiendo caselle di posta, mailing list e forum della Rete
italiana. Nel blog ne trovate alcuni esempi segnalatimi dai lettori:
non li cito qui per evitare, come al solito, i filtri antispam poco
selettivi. Dico solo che contengono frasi come queste:
ciao a tutti,
[link]
guardate quello dei gatti! :-)
ciao a tutti,
ho trovato dei filmati veramente simpatici, soprattutto il
secondo!!
[link]
da morire!!!!! guardate gli ultimi due!!
[link]
Il link porta a un sito di nome "www.f u n n y m o v i e s g a l l e
r i e . com" (ovviamente senza spazi).
Il mittente cambia nei vari messaggi e probabilmente è stato
falsificato, oppure il messaggio è stato effettivamente spedito dalla
casella di posta dalla quale dichiara di provenire, ma a insaputa
dell'utente: in almeno un caso, infatti, l'indirizzo IP del mittente
apparente coincide con quello effettivo dell'indirizzo di e-mail.
Il messaggio è privo di link-trappola (è in testo semplice, senza
codici HTML che nascondono link mascherati) e privo di allegati che
possano trasportare virus.
A prima vista, il sito citato nel messaggio presenta semplicemente
una collezione di video e non sembra contenere codice ostile che
possa iniettare virus o altre porcherie (ma è comunque opportuna
molta prudenza nel visitarlo). L'unica particolarità è che digitando
il nome del sito, senza la sottodirectory "/72364/", si viene
comunque rediretti a questa sottodirectory.
Tuttavia sembra che il sito nasconda una trappola: i video non si
scaricano correttamente, e il sito reca la dicitura "se hai problemi
a visualizzare i video devi aggiornare i codec di Windows Media
Player. Puoi trovare i codec più aggiornati su VcodecDownload".
La dicitura linka a "V c o d e c d o w n l o a d .com", un sito che
sembra offrire dei programmi da scaricare (per Windows). Il sito dice
che sono codec che consentirebbero a Windows Media Player di
visualizzare i video, ma è sempre molto pericoloso scaricare
programmi da siti sconosciuti e di dubbia affidabilità.
E' molto sospetto che il sito dei video e il sito dei codec siano
entrambi intestati a un improbabile "Brad Robertson, P.O.Box 31607,
Code 1000, Addis Ababa Beijing ET, tel: 00 025 16610221 0, fax: 00
025 16610221 0, brad22584@post.cz". Cosa c'entra Beijing, altro nome
di Pechino, con Addis Abeba? E come mai i numeri di telefono e fax
iniziano con tre zeri? E perché un utente etiope (o pechinese)
dovrebbe avere una casella di posta col suffisso cz della Repubblica
Ceca? Ci sono anche altri dati contraddittori.
Inoltre la data di registrazione dei siti è recentissima (il 2
dicembre scorso) e la registrazione vale un solo anno: tipici segni
di uno spammer o di un truffatore.
A giudicare dalla qualità dell'italiano usato, e dal fatto che lo
spam e il sito sono in italiano, sembra che si tratti di uno spam
destinato specificamente agli italofoni.
Il probabile meccanismo di attacco è questo: un utente riceve il
messaggio di spam e, incuriosito, visita il sito dei filmati. Cerca
di vederli e non ci riesce, e così segue il consiglio del sito: va
all'altro sito, quello che ospita i "codec", e li scarica e installa,
credendo che siano innocue aggiunte a Windows Media Player, mentre
sono in realtà virus che infettano il suo PC Windows e lo trasformano
in disseminatore di spam.
Al momento questa è un'ipotesi non verificata ma basata sulle
circostanze: non ho a disposizione una macchina Windows sacrificabile
sulla quale confermare la probabile natura virale di questi "codec"
altamente sospetti. Se qualcuno ce l'ha, può segnalarmi i risultati
dell'installazione del software scaricato.
Consiglio vivamente a chiunque abbia scaricato e installato questi
"codec" di eseguire subito una pulizia antivirus usando un antivirus
aggiornato. Va detto, tuttavia, che l'attacco è talmente recente che
gli antivirus potrebbero non riconoscere l'infezione (AVG, per
esempio, per ora non rileva pericoli), per cui conviene ripetere il
controllo antivirus anche fra un paio di giorni, quando gli antivirus
saranno stati aggiornati.
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2005 by Paolo Attivissimo (www.attivissimo.net).
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
Attenti allo strano minispam virale che ...
