skip to main | skip to sidebar
30 commenti

Spam-virus natalizio

Attenti ai video di Natale, potreste trovarci regali sgaditi


Questo articolo vi arriva grazie alle gentili donazioni di "arch.gb", "info" e "giubileoa".

Sta circolando una nuova serie di messaggi che tentano di infettare chi li riceve, spacciandosi per e-mail di comuni utenti che segnalano un sito contenente video natalizi divertenti. Ecco alcuni dei testi di questi messaggi-esca:

a natale si è tutti più imbranati
http://www.goodmovieplay.com/video7.html
hehehe ciao tanti a uguri

a natale dovremmo essere tutti più buoni, invece...
http://www.goodmoviesmile.com/video2.html
a presto e auguri anche alla famiglia

scherzetto simpatico...eheheh
http://www.goodmoviesmile.com/video6.html
a presto, vi auguro buone feste

in africa non importa che tu sia leone o gazzella, l'importante è che...
http://www.goodmoviesmile.com/video4.html
a presto, auguri di buone feste e buon anno!

l'idiozia non manca mai nelle persone, soprattutto a natale, no comment
http://www.movie-laugh.com/video5.html
meglio non pensarci
tanti auguroni, ci sentiamo dopo le feste, a presto

Il meccanismo è simile a quello già descritto in un articolo precedente. Visitando il sito, parte automaticamente Windows Media Player, che tenta di visualizzare un videoclip ma produce un messaggio d'errore.

L'utente è così indotto a seguire la raccomandazione del sito, ossia scaricare e installare quelli che il sito chiama "codec aggiornati" ma sono in realtà virus: file eseguibili di nome VideoCodec3_05b_6.exe o simili, situati presso http://www.vcodecget.com/download, sito creato pochissimi giorni fa (il 22 dicembre scorso).

Inviando uno di questi "codec" al sito della Kaspersky, che li analizza gratis in tempo reale, salta fuori che contiene il virus Trojan-Clicker.Win32.Bomka.a.

A giudicare dalla diffusione dei messaggi-esca, il meccanismo di azione di questo virus è il seguente: un utente riceve il messaggio-esca, che sembra provenire da un conoscente. Incuriosito e rassicurato dalla fonte della raccomandazione, visita il sito dei filmati. Cerca di vederli e non ci riesce, e così segue il consiglio del sito: va all'altro sito, quello che ospita i "codec", e li scarica e installa, credendo che siano innocue aggiunte a Windows Media Player, mentre sono in realtà virus che infettano il suo PC (soltanto se usa Windows) e lo trasformano in disseminatore di ulteriori messaggi-esca. Non è noto se il virus abbia anche altri effetti.

La raccomandazione è la solita: mai installare programmi o altri file eseguibili di origine non certa.

Il sito goodmoviesmile.com è situato in Cina ma intestato apparentemente a un residente in Italia, secondo whois:

Benutti, Victorio
victorio_benutti@yahoo.com
Via Bonanno Pisano, 111
Pisa, 56126
Italy
050 554 423

Tuttavia è probabile si tratti di dati falsi, visto che il numero di telefono indicato risulta inesistente.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi.
Siate civili e verrete pubblicati, qualunque sia la vostra opinione: gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE: l'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo sito. Ciò significa che per poterla visualizzare senza problemi dovete assicurarvi che il vostro browser (tramite l'azione di qualche estensione, tipo quelle che eliminano le pubblicità) e/o altri programmi di protezione (antimalware, tipo Kaspersky) non la blocchino per qualche motivo e inoltre che sia permesso accettare i cookie da terze parti.
Commenti
Commenti (30)
In questo momento non ho sottomano un pc Windows sacrificabile, altrimenti mi sarebbe piaciuto provare...^_^
per quanto riguarda la persona registrata posso confermare che non esiste in quanto a pisa non esiste nessun Benutti (abito in prov di pisa e sull elenco ho trovato solo benuzzi e benussi) e il numero è inesistente..
Non so se avete visto la pagina di presentazione: http://www.vcodecget.com/

Addirittura l'user rating! Mi sa che tra poco WindowsXP non sarà più l'unic virus dotato di helpdesk ;-)
E Netcraft assegna Risk rating massimo a quella pagina.
Spam ben fatto questa volta. Oltre ai messaggi che hai riportato, aggiunge nome e cognome del mittente dando una maggiore parvenza di autenticità al messaggio.
Un mio amico me ne sta mandando circa 10 all'ora!

Paolo, non ho avuto occasione di farlo prima, ma ti ringrazio ora per il tuo lavoro.

Francesco
Paolo, ho scaricato il 'video' e l'ho analizzato con Gspot rel 2.21. Il video è assolutamente valido, ma buio! (Gspot riporta che riesce ad effettuarne il rendering: "DirectShow reported no errors. It was able to 'render' the file using AVI splitter as a 'splitter' (generally to isolate the audio and the video from the combined stream) and WMVideo Decoder DMO as the video codec". Il 'furbetto' ha aggiunto alcuni parametri nell'html che linkano al finto codec!
In via Bonanno Pisano 111, a Pisa, c'è un hotel, il Roma. Mi chiedo se sia una scelta casuale...

Amedeo
L'asx risulta valido fondamentalmente perchè è vuoto (provate ad aprirlo in formato .txt), ed è stato utilizzato solo per le istruzioni aggiuntive che questo formato contempla: vedi in questo caso i tag che richiamano la gif con il logo microsoft (residente sul sito fake), la richiesta di download del codec fasullo, ed il link connesso. Il tutto visualizzato alla perfezione da MediaPlayer, grazie al formato asx.
Ci sono cascato come un pollo ed ho installato quel codec fasullo..
Sono passati 4 giorni e non e' successo ancora niente al mio PC anche se di solito i virus si attivano in modi e tempi tutti loro.
Adesso vedo se il mio Norton AV mi protegge dal Trojan-Clicker.Win32.Bomka.a , speriamo bene. Auguri a tutti ...
Anche io ci sono cascato come un pollo, AVG però non ha rilevato nulla mentre Kasperky, installato in versione trial, lo ha rilevato e, spero, eliminato.
Devo iniziare a dubitare della validità di AVG?
C'è un tool di rimozione specifico?

Ciao, grazie a Paolo per il suo lavoro e Buon Anno

Peter
Volevo dirti che anch'io ho linkato al filmato e Windows media player mi ha mostrato un filmato buio con rumori...
Ma non mi è stato chiesto di scaricare nulla.
In efferri nel WMP avrebbe dovuto esserci, in basso sulla barra, un'immagine che però non si rivelava (c'era il classico quadratino con la X rossa.
Cosa vuol dire? Ho vinto qualcosa?...

Guido
ciao ma la soluzione per questo virus???
cosa bisogna fare???
dove bisogna andare???

grazie
mauro
Questo commento è stato eliminato da un amministratore del blog.
Ho dovuto combattere con questo maledetto virus sul PC di un parente. Non viene riconosciuto da antivirus come panda o norton. per fortuna rovistando nell'archivio del blog di paolo ho trovato la soluzione : scaricatevi l'antivirus "VirIt" da questo indirizzo dove vengono peraltro descritte le caratteristiche. http://www.virit.com/startup/scheda.asp?num=2161
io ho risolto così ed il mio parente se l'è cavata con qualche insulto da parte di amici ai quali ha spedito mail inconsapevolmente!
spero di esservi stato di aiuto
Buon anno
Ciao!
Alberto
ciao e grazie
ho fatto andare virIt trova il due dll li elimina ma poi continuano a ripresentarsi
e continuo a spedire mail a manetta
non riesco propio a capirci nulla
comunque grazie mille
e buon anno a tutti

mauro
http://www.moviejump.com/video2.html

Mi è arrivato un messaggio-trappola del genere ma riferito al sito Moviejump.com

Grazie a Paolo che mi ha avvertito e così non ci sono cascata.
Mi è successo anche con i file wmf: dato che uso firefox mi ha chiesto se volevo caricare quella immagine e ricordandomi della trappola segnalata da Paolo non ci sono caduta neanche questa volta.
Grazie 1000 Paolo.
Ciao a tutti!!!
Io ho rimosso più volte i file .dll infetti dopo essere cascato al trucchetto del filmato e dei codec.
Il virus me lo rivela e rimuove sia kaspersky, sia vir.it, sia ewido, ma appena riavvio si riforma non appena mi connetto ad internet!!!
Ho anche disattivato il componente fallato così come segnalato, ma continua il problema!
In modalità provvisorio il virus non è presente, perchè si ripresenta appena il pc è connesso ad internet... Che fare?!?
Può creare ulteriori danni?!? E-mail in ogni caso non è manda più da me, perchè subito si attiva ewido e blocca ed elimina il virus!!!
Fate sapere se ci sono novità!!!
Grazie
Anch'io sono stata infettata dal virus descritto (la mail proveniva da un mittente che conoscevo, ovviamente inconsapevole), con ingenuità mi sono fidata e ho clikkato il link assassino. Ho risolto il problema scaricando Virit; altri antivirus (il "potente" e famoso Norton) non rilevavano infezioni. Ringrazio l'autore del Blog per le preziose informazioni (trovate per caso con una ricerca tramite Arianna in cui ho inserito la parola virus unita al titolo della mail che mi ha dato questi problemi).
grazie a voi ho trovato il virus in questione il cui nome sembra essere BHO.MuchoCool.B (ho trovato informazioni qui: http://www.virit.com/startup/scheda.asp?num=2191
ho fatto un po' di pulizia..e forse ho risolto il problema. dico FORSE ..domani si vedrà. per ora grazie tante!
Stanotte è arrivato un messaggio così anche a me!

non fraintendere !!
http://www.nicemovieplay.com/video8.html

Buone f este
mi è arrivato, ovviamente inviatomi da un amico con tanto di saluti e firma (nome ecognome x esteso)
ho aperto il file..non vedevo nulla ma non mi ha chiesto alcun aggiornamento di programmi... chissà se mi sono infettato
Aiuto!
Sono due giorni che tento di rimuoverlo ed ora antivir non me l'ho dà più...ma ha trovato una mutazione
TR/Adclicker.BS.3
TR/Adclicker.BS.1
Mi e' arrivato in questa forma:
Oggetto: video natalizio ?!

Stupidità assoluta
http://www.good-movie-jokes.com/video1.html
ciao tanti auguri e buone feste
Giorgio Gandus
Sono 3 giorni che lotto per eliminare questo visur ho installato kasperkey e virit-lt insieme e liminato manualmente file temporanei, cookie e eliminato activex dubbi. Ora dopo 48 ore il virus non si è più ripresentato
forse sono riuscito ad eliminare il maledetto.
scansione completa del pc con kaspersky, eliminazione dei file infetti, usato regclean pro per una scansione del registro approfondita, eliminate tutte le voci riscontrate con problemi.
forse ha funzionato......faccio gli songiuri.
Io credo sia un problema di MS mediaplayer, in quanto con mediaplayer classic nn chiede di installare alcun codec. dice che nn lo può riprodurre e basta. Free Download Manager nn riesce a scaricare il fantomatico video che arriva da questo url: http://www.good-movie-jokes.com/video5.asx
Ora quello che vorrei capire è se chi lo invia sa quello che fa o come i trojan è un invio automatico nn voluto dal mittente originario?
Ciaoooo
L'ultimo aggiornamento dell'antivirus gratuito AntiVir (www.free-av.com) e una scansione completa del pc mi ha debellato l'AdClicker.

Saluti a tutti i fan di attivissimo
Da buon livornese mi viene da dire i soliti pisani di m----

Scherzo cugini, vi voglio bene lo stesso, grande paolo sempre il migliore, ciao a tutti
Io ho ultimamente ricevuto questa versione: "Questo è il filmato del mio compleanno, indovina chi c'è al mio fianco". Oltretutto per pura coincidenza il messaggio proveniva apparentemente da un indirizzo con cui abbiamo proprio rapporti di lavoro... Però per fortuna windows mi dava subito errore e mi chiudeva tutto. Ho trovato questo allarme per caso, cercando il codec con google...! Saluti Beppe, Bologna
Io segnalo un allegato in formato video .asx giunto con messaggio di posta elettronica da parte di soggetto sconosciuto che invitava a cliccare sul video dopo varie lusinghe del tipo "...quanto mi manchi..".
Il file esaminato con Klamav metteva alla luce il suo insidioso contenuto: il virus HTML.asxdropper.
Ho aperto comunque il file (tanto uso Linux, hehehe!!!) ma lo stesso appariva privo di contenuto.

Utenti Winzozz siete avvisati!