skip to main | skip to sidebar
26 commenti

Sicurezza: non aprite quel giochino

Questo articolo vi arriva grazie alle gentili donazioni di "mario.flo****", "mastervb2001" e "colombo.impi****".

Giornata vivace per gli attacchi informatici, quella di oggi 26/1/2006. Dopo l'allegato-trappola che si spaccia per un documento Word scottante, ora arriva l'allegato che si spaccia per un giochino irresistibile. Ecco un esempio del suo testo:

Vi mando un gioco flash divertentissimo!

Quando avete 30 secondi unzippa te l'allegato!

poi mandatemi il punteggio che avete fatto,
io ho fatto 105 ma senza molti tentativi!

sicuramente miglior gioco flash degli ultimi anni!

c iao

Diego

ps : passalo ai colleghi :)

Gli spazi in più presenti in alcune parole sono quelli del messaggio originale, e sono diversi da messaggio a messaggio: caratteristica che accomuna questo tentativo di infezione con l'altro attacco di oggi. Non è l'unico punto in comune: anche qui, l'allegato è un file ZIP (stavolta non cifrato), di nome "gioco.zip", "giocoflash.zip", "flashgame.zip" o simili, che contiene un programma di nome "freccette.exe" oppure "birra.exe" (i nomi possono variare).

L'altro punto saliente in comune con l'attacco precedente è che anche in questo caso il virus (più propriamente trojan) è, secondo l'analisi online di Webimmune.net (McAfee AVERT), Adclicker-DW, programma che infetta i PC Windows e fa loro visualizzare pubblicità indesiderata. Anche qui, inoltre, il mittente apparente è una persona conosciuta alla vittima.

La raccomandazione è anch'essa analoga: non aprite gli allegati sospetti o inattesi. Se ricevete un allegato inatteso, chiedetene conferma al mittente. Non fidatevi del mittente apparente: è facilmente falsificabile, per cui non mandate e-mail d'insulti a chi sembra avervi mandato il file infetto.

L'infezione agisce sui sistemi Windows ma non comporta alcun pericolo per gli utenti Linux o Mac. Gli utenti Windows che cestinano l'allegato senza eseguirlo non vengono infettati.

Ciao da Paolo.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (26)
Quest'attacco sfrutta un meccanismo psicologico particolarmente fetente. Non so voi ma io ho almeno 4 amici che passano il tempo inoltrando giochini ed amenita varie a tutta la loro friend list.

Saluti
Marc
Neanche gli utenti che censtinano windows senza eseguirlo vengono infettati.
mc
>> Neanche gli utenti che censtinano windows senza eseguirlo vengono infettati.

Essendo un attacco che può funzionare su ogni sistema operativo (e danni se ne riesce a fare anche se gira sotto linux con utente non root), il commento è puramente flammatorio.
Ragazzi, stavolta stavo per cascarci... per caso l'occhio è caduto sull'email di Paolo pochi istanti prima che....Grazie Topone
AL
Flammatoria l'idea di cestinare Windows? Secondo me, no. Tutt'altro! Sono anni (dal 1986, per la precisione...) che ogni tanto qualcuno mi dice in tono cassandresco: "Ridi, ridi tu col Mac. Vedrai che prima o poi tocca anche a te!" Sono ancora in trepida attesa...
Grazie a Paolo della segnalazione!

Mi chiedo come i mandanti dell'attacco possano guadagnare davvero con questo tipo di pubblicità!

Voglio dire: mettiamo che mi infetto. Conseguenza: danni vari al SO e ai documenti personali nonché comparsa di pubblicità... E secondo voi io dovrei essere pronto a dar credito alla pubblicità che mi ha raggiunto in quel modo? Dovrei correre a comprare i loro prodotti per ringraziamento dell'infezione?

E' come se chi piazza i volantini sulle auto invece di metterli sotto il tergicristallo vi spaccasse il finestrino per appiccicarveli al volante! Voi comprereste un prodotto reclamizzato con questi mezzi???
Appunto.(Come direbbe il buon Paolo ;-)

Se continuano qualcuno che abbocca ci deve pur essere... altrimenti che convenienza avrebbero?

Eppure non mi capacito! Ok abboccare all'amo... può capitare a tutti. Ma una volta scoperta l'infezione continuare a dar retta al vandalo... è da masochisti!!!

Fry Simpson
è arrivato anche nel mio ufficio ieri....ho fatto una scansione con McAfee (definizioni aggiornate) sul file .exe, ma non ha rilevato alcun virus... :(
Provo con Spy-bot....

Ciao... :)
A me è arrivato un messaggio già ripulito dell'allegato:" L'allegato al messaggio e' stato controllato dal Servizio Antivirus
freccette.exe era infetto con il virus Trojan.Adclicker ed e' stato cancellato perche' il file non poteva essere pulito. This message has been processed by the Brightmail(tm) Anti-Virus Solution using
Symantec's Norton AntiVirus Technology."
Ieri avevo postato un commento all'altro post, dicendo che mi era arrivato freccette.exe e che non veniva riconosciuto dal Kaspersky online. Oggi ho riprovato e l'ha riconosciuto, con questa risposta:

Scanned file: freccette.exe
freccette.exe/stream/Script - OK
freccette.exestream/data0001 - infected by Trojan-Downloader.Win32.Small.cgz
freccette.exe/stream/data0002 - OK
freccette.exe/stream/data0003 - OK
freccette.exe/stream/data0004 - infected by Trojan-Clicker.Win32.Bomka.d
freccette.exe/stream/data0005 - OK

Meglio tardi che mai; effettivamente è un attacco più pericoloso di altri, l'email è davvero molto più verosimile di tante altre ricevute.
Per mettere una barriera in più tra gli spammer e la vostra casella di e-mail usate


Popfile


(pubblicità a cura di un utente soddisfatto :-)
Aaaah... ma è il nostro "amico" Bomka, lo stesso dei "filmati divertenti"/vcodec. Per la cronaca, pare proprio che questi non siano altro che gli ennesimi affiliati di Coolwebsearch, ma il linguaggio in italiano credibilissimo fa fortemente sospettare che abbiano trovato affiliati anche in Italia. Francamente trovo veramente incredibile che questa rete criminale sia ancora libera ed indisturbata; a quanto pare anche l'exploit WMF di unionseek (il primo apparso "in the wild", oltre che il primo apparso in assoluto) fosse roba loro.

TNT
un aggiornamento: McAfee anche con gli ultimi aggiornamenti non ha trovato tracce di virus nel file. Nemmeno ad-aware si è accorto di nulla (forse quest'ultimo non ha trovato traccia di nulla perchè il file non è stato eseguito?)
Nemmeno AVG si accorge di freccette.exe.
Se eseguito (come qualcuno ha fatto sul mio pc di casa...) chessifà?
qualcunolosà?
Forse è il caso di sgombrare il campo da qualche equivoco. I due mondi, Windows e Linux, sono incompatibili. Quindi i programmi che girano sotto uno non possono girare sotto l'altro e viceversa. Analogo discorso vale per i virus. Ecco per cui un file .exe (estensione classica - anche se spesso "mascherata" - dei virus che girano su windows) non potrà mai essere avviato, almeno in modo nativo, su sistemi unix/like (linux o mac che siano).
In quanto alla questione 'cestinare windows', mi pare sia un'operazione che, lentamente ma inesorabilmente, è comunque da tempo cominciata.

Saluti.
avast lo riconosce come Discreen e lo qualifica come joke, ma smanettando con google si vede che corrisponde al buon vecchio boomka, quindi se si installa occorre armarsi di santa pazienza e far fuori le varie dll che si ficcano nel registro di sistema.. un consiglio: usate firefox per navigare visto che a me si attiva e si replica solo aprendo explorer.
Infettato come un pollo:-(((
però l'aggiornamento antivirus Viruscan del 27/1 l'ha riconosciuto e messo in quarantena...
sono un pollo pure io, erano almeno 2 settimane che avevo lasciato dormire la mail ma oggi me ne sono ricordato e l'ho aperta...
norton non ha rilevato un bel niente...
Ricevo il 04 febbraio 2006 la seguente mail.

Oggetto: relax 2 secondi
Mittente apparente: Francesca.Nestola@libero.it (da me sconosciuta)

Corpo della mail vuoto.

Headers:
_________________
Return-Path: <Barbara.Bolognesi@libero.it>
Received: from vsmtp22.tin.it (192.168.70.61) by ims2f.cp.tin.it (7.2.060.1)
id 43B7D6F900FA287B for ***@tin.it; Sat, 4 Feb 2006 14:40:10 +0100
Received: from ms008msg.fastweb.it (213.140.2.57) by vsmtp22.tin.it (7.2.060.1)
id 43CE5CCE021135CD for ***@tin.it; Sat, 4 Feb 2006 14:40:10 +0100
Received: from 213-140-16-191.fastres.net (23.252.254.167) by ms008msg.fastweb.it (7.2.070)
id 43DF6E30001DD7B2 for ***@tin.it; Sat, 4 Feb 2006 14:39:45 +0100
Date: Sat, 04 Feb 2006 14:39:28 -0100
From: From: Francesca.Nestola@libero.it
X-Mailer: The Bat! (v3.45.84) Professional
Reply-To: <Francesca.Nestola@libero.it>
Organization: consent Inc
X-Priority: 4 (Low)
Message-ID: <6196644116.48553799750773@Catherwood>
To: ***@tin.it
Subject: relax 2 secondi
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------wdalpgj7ajlbzso"

------------wdalpgj7ajlbzso
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
_____________

Allegato: new_game.zip (191K)

L'allegato è zippato senza password, e contiene due files:

* readme.txt che aperto col Blocco Note si rivela essere un vero file di testo contenente le istruzioni del presunto gioco delle freccette.

* game.exe che l'antivirus e l'anti-spyware integrati in "Zone Alarm Security Suite" aggiornati al 6 febbraio 2006 ore 14:44 NON riconosce come infetto!!!

Per fortuna ho letto "L'Acchiappavirus" e sono iscritto alla mailing list di Paolo, quindi ero praticamente sicuro che si trattasse di un virus, e l'ho sottoposto all'esame di http://www.kaspersky.com/scanforvirus
Risultato:
Scanned file: game.exe.virus!!
game.exe.virus!!/stream/Script - OK
game.exe.virus!!/stream/data0001 - OK
game.exe.virus!!/stream/data0001 - OK
game.exe.virus!!/stream/data0002 - infected by Trojan-Downloader.Win32.Bomka.f
game.exe.virus!!/stream/data0003 - OK
game.exe.virus!!/stream/data0004 - OK

(L'estensione ".virus!!" ce l'ho messa io per evitare di lanciarlo per sbaglio con un doppioclick spurio)

Ora, mi domando io... è dal 26 di gennaio che Paolo ha segnalato questo virus e ZoneLabs non lo ha ancora inserito nella lista delle infezioni rilevabili dal SUO PRODOTTO *A*PAGAMENTO* DI PUNTA ???

Ma cosa li paghiamo a fare ???


Ora mi scarico la versione gratuita di "AntiVir" e vediamo se lo rileva...

Ciao
Fry Simpson
ok ok , ammettiamo per un momento che abbiate un fratellino piccolo piccolo e un po'...... ehm ehm ... distratto e che questo fratellino abbia aperto l'exe ......e che abbia quindi infettato il sistema ........ e che abbia ricevuto delle mail da persone in rubrica che lo avvertivano di aver ricevuto da lui delle mail infette....... ebbene : cosa consigliereste al fratellino ??? che deve fare ????? format c:? ( tenete presente che il fratellino le dll manco sa che cosa siano... a proposito ...... che sono le dll :-) ???????
Grazie tante a chi mi risponderà.
Il frat.... ehm Max
Usa un buon antivirus, ed educa il tuo fratellino a non cliccare su tutto quello che gli capita a tiro.
Aggiornamento: Ieri sono riuscito a scaricare "AntiVir", ma non ad aggiornarlo (probabilmente per errata impostazione del firewall). Così come era (installato senza aggiornamenti) nemmeno AntiVir riconosceva l'infezione.

Ieri ho smanettato parecchio ma non sono riuscito ad aggiornarlo, così ho rinunciato.

Stamattina -miracoli dell'informatica- appena mi collego all'Internet, il programma di aggiornamento automatico di AntiVir parte da solo come al solito... con la differenza che stavolta si aggiorna.

Intanto che si sta aggiornando, però, parte anche l'aggiornamento automatico antivirus + antispyware di "ZoneAlarm Security Suite". Lo lascio fare, e va a buon fine prima che l'aggiornamento di AntiVir sia finito.

Va a buon fine anche l'aggiornamento di AntiVir.

Apro la cartella col file infetto, porto il puntatore sul file (senza nemmeno un singolo clic) e... TA-DAA! Sia il "Guard" di AntiVir che quello di ZoneAlarm riconoscono il virus! :-)

(Naturalmente il sistema si impianta... Ancora una volta Paolo ha ragione: due antivirus contemporaneamente si comportano come due galli in un pollaio.)

Peccato che non sono riuscito ad aggiornare AntiVir ieri... Così non posso sapere se già ieri l'avrebbe riconosciuto.

Per esperienza risalente a quando usavo quotidianamente AntiVir e lo tenevo aggiornato posso dire che le nuove minacce venivano aggiunte alle definizioni dopo pochi giorni e non dopo più di una settimana come ha fatto ZoneAlarm.

E la versione di ZA con antivirus si paga, mentre AntiVir è gratuito per uso personale

Ciao

Fry Simpson
P.S. Comunque un crash di sistema che si risolve con un reset hardware (ed eventuale perdita dei dati non salvati... è vero) è sempre meglio di una infezione che -potenzialmente- potrebbe essere ben più dannosa (ad esempio cancellare tutti i documenti .pdf .doc etc come nel caso di Kama Sutra), no?

Fry Simpson
Per Max (e il suo fratellino ;-)

Tranquillo, sai quante volte anche il mio "fratellino" ha fatto click a vanvera...

Adesso che, una volta aggiornato, AntiVir Personal Edition Classic (gratuito per uso personale) riconosce il virus puoi scaricarlo (http://www.free-av.com/), aggiornarlo e lanciare uno scan su tutto il sistema (configuralo per esaminare tutti i files e tutti gli archivi).

Per esperienza personale, però, l'intervento dell'antivirus a posteriori rimuove sì il virus

(sempre che quest'ultimo non sia abbastanza furbo da annidare copie di sé stesso nel registro o altrove... a questo proposito: AntiVir nella versione vecchia funzionava con Windows avviato in "Modalità Provvisoria". Prova ad avviare in modalità provvisoria e vedere se anche la versione corrente funziona. Se funziona è meglio eseguirlo in modalità provvisoria, dico bene, Paolo?)

ma generalmente lo fa cancellando brutalmente i files infetti che tipicamente sono files di sistema, per cui in ultima analisi la formattazione è necessaria...

...per quelli che non hanno fatto il backup!

Se hai il backup della partizione... avvii il sistema dal CD di backup e sovrascrivi automaticamente la partizione danneggiata con una copia byte per byte di come era al momento in cui avevi fatto il backup. Fine.

Niente installa, configura, installa... per decine di programmi, service packs, patches etc...

Prendi l'occasione: una volta formattato, reinstallato, configurato, patchato, installa Drive Image o similari e fai il backup della partizione.

La prossima volta chei il fratellino entra in azione dovrai solo inserire il CD (o DVD), riavviare e leggerti un buon libro per una mezzoretta! :-)

Ciao
Fry Simpson
Questo commento è stato eliminato da un amministratore del blog.
Questo commento è stato eliminato da un amministratore del blog.
Questo commento è stato eliminato da un amministratore del blog.