Cerca nel blog

2006/01/26

Sicurezza: attenzione ai falsi file Office allegati ai messaggi

Questo articolo vi arriva grazie alle gentili donazioni di "reemulit", "pgolfari" e "bungalowbill".
L'articolo è stato modificato rispetto alla sua stesura iniziale. Alcuni commenti, scritti prima della modifica, potrebbero quindi sembrare incoerenti a causa di questi cambiamenti.

Ho ricevuto oggi numerose segnalazioni di un nuovo attacco informatico basato su un e-mail in italiano che promette informazioni personali incluse in un documento Office cifrato. Il messaggio sembra provenire da una persona nota al destinatario. Si tratta invece di un virus (più propriamente di un trojan horse) e il mittente è falsificato.

Ecco un esempio di testo del messaggio:

ciao ,

ho trovato , per una coincidenza, un file che
contiene alcune informazioni su di te.
ho preferito proteggerlo con una password,
non vorrei che andasse in giro e lo aprisse qualcuno.

la password per aprire il file zippato è "privato12",

quando hai unzippato troverai un file Office cryptato.

aprilo con un doppio click.

fammi sapere subito,
scusami ma sono un po' in ansia...

Allegato al messaggio c'è un file ZIP di nome "doc_riservato.zip" o "documentazione.zip" o simili, che l'antivirus non può esaminare perché è uno ZIP protetto da password.

Scompattando il file ZIP con la password fornita nel messaggio (non fatelo), si ottiene un file eseguibile (non un documento Microsoft Office) di nome "doc_22_01_06_enrcypted_archive.exe". Su un PC Windows, questo file ha l'icona di Word pur essendo un eseguibile, come potete vedere nell'immagine all'inizio di questo articolo. Molto, molto ingannevole, vero?

Aggiornamento. Inizialmente avevo messo nell'immagine anche un'icona di un vero documento Word, ma come notato nei commenti dei lettori (che ringrazio), questo poteva essere fuorviante, perché l'icona vera era quella delle vecchie versioni di Word. Sembrava insomma che ci fosse una differenza visibile fra icona falsa e icona vera, ma non è così.

Secondo le segnalazioni dei lettori (grazie ladysil), il file è un trojan horse, ossia un "cavallo di Troia", che si spaccia per un file innocuo ma inietta di nascosto in Windows del codice ostile. Secondo McAfee, si tratta di Adclicker-DW, usato per far comparire pubblicità indesiderata nel computer della vittima tramite Internet Explorer.

Per evitare l'infezione è sufficiente non aprire il file. E' consigliabile cancellarlo e vuotare il Cestino. Il virus ha effetto solo su Windows; gli utenti Mac e Linux non sono colpiti.

L'attacco è piuttosto insolito e interessante per la sua sofisticazione, visto che per conquistarsi la fiducia della vittima e abbassarne le difese è scritto in buon italiano, usa frasi "unisex" (valide per destinatari di entrambi i sessi) e inoltre usa un mittente noto alla vittima, insieme all'espediente psicologico della preoccupazione per i dati riservati che sarebbero stati trovati in giro.

Il messaggio può essere identificato abbastanza facilmente perché il campo "A:" del destinatario non contiene l'indirizzo del destinatario, ma la sequenza di caratteri "<.>".

Nessun commento: