Virus DOC 26.1.06 Permalink 28 commenti
Sicurezza: attenzione ai falsi file Office allegati ai messaggiQuesto articolo vi arriva grazie alle gentili donazioni di "reemulit", "pgolfari" e "bungalowbill".
L'articolo è stato modificato rispetto alla sua stesura iniziale. Alcuni commenti, scritti prima della modifica, potrebbero quindi sembrare incoerenti a causa di questi cambiamenti.
Ho ricevuto oggi numerose segnalazioni di un nuovo attacco informatico basato su un e-mail in italiano che promette informazioni personali incluse in un documento Office cifrato. Il messaggio sembra provenire da una persona nota al destinatario. Si tratta invece di un virus (più propriamente di un trojan horse) e il mittente è falsificato.
Ecco un esempio di testo del messaggio:
ciao ,Allegato al messaggio c'è un file ZIP di nome "doc_riservato.zip" o "documentazione.zip" o simili, che l'antivirus non può esaminare perché è uno ZIP protetto da password.
ho trovato , per una coincidenza, un file che
contiene alcune informazioni su di te.
ho preferito proteggerlo con una password,
non vorrei che andasse in giro e lo aprisse qualcuno.
la password per aprire il file zippato è "privato12",
quando hai unzippato troverai un file Office cryptato.
aprilo con un doppio click.
fammi sapere subito,
scusami ma sono un po' in ansia...
Scompattando il file ZIP con la password fornita nel messaggio (non fatelo), si ottiene un file eseguibile (non un documento Microsoft Office) di nome "doc_22_01_06_enrcypted_archive.exe". Su un PC Windows, questo file ha l'icona di Word pur essendo un eseguibile, come potete vedere nell'immagine all'inizio di questo articolo. Molto, molto ingannevole, vero?
Aggiornamento: inizialmente avevo messo nell'immagine anche un'icona di un vero documento Word, ma come notato nei commenti dei lettori (che ringrazio), questo poteva essere fuorviante, perché l'icona vera era quella delle vecchie versioni di Word. Sembrava insomma che ci fosse una differenza visibile fra icona falsa e icona vera, ma non è così.Secondo le segnalazioni dei lettori (grazie ladysil), il file è un trojan horse, ossia un "cavallo di Troia", che si spaccia per un file innocuo ma inietta di nascosto in Windows del codice ostile. Secondo McAfee, si tratta di Adclicker-DW, usato per far comparire pubblicità indesiderata nel computer della vittima tramite Internet Explorer.
Per evitare l'infezione è sufficiente non aprire il file. E' consigliabile cancellarlo e vuotare il Cestino. Il virus ha effetto solo su Windows; gli utenti Mac e Linux non sono colpiti.
L'attacco è piuttosto insolito e interessante per la sua sofisticazione, visto che per conquistarsi la fiducia della vittima e abbassarne le difese è scritto in buon italiano, usa frasi "unisex" (valide per destinatari di entrambi i sessi) e inoltre usa un mittente noto alla vittima, insieme all'espediente psicologico della preoccupazione per i dati riservati che sarebbero stati trovati in giro.
Il messaggio può essere identificato abbastanza facilmente perché il campo "A:" del destinatario non contiene l'indirizzo del destinatario, ma la sequenza di caratteri "<.>".
Commenti:
<< Home
Il confronto fra le icone è fuorviante:
l'icona del file infetto è di Office2003, quella dell'altro di Office 2000.
Quindi ci sono anche doc legittimi con l'icona a sinistra!
l'icona del file infetto è di Office2003, quella dell'altro di Office 2000.
Quindi ci sono anche doc legittimi con l'icona a sinistra!
Commento pubblicato da 
26/1/06 16:15
26/1/06 16:15
Non ho ancora ricevuto un attachment del genere, quindi tiro a indovinare: forse è il nuovo Bagle annunciato da alcuni vendor ieri notte / stamattina?
Commento pubblicato da 26/1/06 16:23
26/1/06 16:23
Confermo quanto detto prima. Se chi riceve una e-mail del genere e ha nel suo computer installato qualsiasi versione di Office 2003 può confondersi. Io stesso leggendo superficialmente pensavo che l'icona vecchia di word ante-2000 (quella "flat" diciamo) fosse quella utilizzata da chi ha diffuso queste e-mail. Invece era proprio il contrario! Saluti
Cn lo stesso meccanismo ho appena ricevuto uno zip che diceva di contenere un gioco flash. Siccome non sono un esperto di antivirus non l'ho estratto, quindi non so dire nulla dell'icona, però conteneva un eseguibile!
Dovrebbe essere semplicemente un hoax, uno scherzo per far prendere paura chi ha problemi con la finanza o robe simili, il file contiene un power point che descrive un articolo della finanza che teoricamente dovrebbe riguardare la persona interessata. E poi conclude con "ti sei preso paura eh?" o robe simili
direi nessun virus all'interno
ciao
Fiore
direi nessun virus all'interno
ciao
Fiore
È arrivato anche a me uno pseudo giochino flash da un account conosciuto, in una email in perfetto italiano, molto verosimile, tanto che per la prima volta in tutta la mia vita internettiana ci sarei potuto cascare (a dire la verità mi ha salvato il fatto che usando un Mac non avrei potuto comunque usare il file che era un exe). Successivamente l'autore della email, quello vero, mi ha mandato un'altra email per dirmi che non era lui l'autore di quella precedente.
Ho passato il file, che si chiama freccette.exe, al Kaspersky online ma non ha riconosciuto alcun virus... potrebbe anche essere solo una burla, ma onestamente non mi va di rischiare il computer del lavoro, che è un Windows, per fare la prova.
Ho passato il file, che si chiama freccette.exe, al Kaspersky online ma non ha riconosciuto alcun virus... potrebbe anche essere solo una burla, ma onestamente non mi va di rischiare il computer del lavoro, che è un Windows, per fare la prova.
Ho inviato il "virus" ai laboratori mcafee mi hanno rilevato il trojan: "adclicker-dw"
Ciao
Ladysil
Ciao
Ladysil
Commento pubblicato da 26/1/06 17:24
26/1/06 17:24
Ciao Attivissimo,
ti apprezzo molto x il tuo tentativo di 'pulire' un po' la rete: io, nel mio piccolo, cerco sempre di ricordare ai miei amici, prima di inoltrarmi qualsiasi e-mail, di consultare il tuo sito.
ti apprezzo molto x il tuo tentativo di 'pulire' un po' la rete: io, nel mio piccolo, cerco sempre di ricordare ai miei amici, prima di inoltrarmi qualsiasi e-mail, di consultare il tuo sito.
Comunque a me con GMail non m'è mai capitato di ricevere mail del genere a differenza di libero che tra virus e spam è una calamita, insomma a mio parere usando un account di posta GMail si eliminano molti di questi inconvenienti.
Commento pubblicato da 26/1/06 20:13
26/1/06 20:13
Si potrebbe usare l'ottimo programmino Free "Sandboxie" per eseguire il file sospetto/infetto nel computer virtuale creato da Sandboxie stesso, vedere esattamente che fa l'eseguibile, eventualmente sottoporre a scansione con 1 o più antivirus la cartella virtuale di cui sopra.
Magari quando ho un po' di tempo ci provo, ovviamente dopo essermi fatto una bella immagine di "C" con Acronis ;-))
Federico
Magari quando ho un po' di tempo ci provo, ovviamente dopo essermi fatto una bella immagine di "C" con Acronis ;-))
Federico
Commento pubblicato da 26/1/06 21:42
26/1/06 21:42
mi è arrivato stamattina e non vi nascondo ke la componente psicologica mi ha bekkato un po ma alla fine go capito ke non poteva ke essere un virus
Commento pubblicato da 26/1/06 23:10
26/1/06 23:10
Per un precedente messaggio:
che io sappia anche GMail non è esente da spam.
Per Paolo:
Potresti suggerire, in coda all'articolo sul blog, che il modo migliore per evitare di rimanere fregati dall'apparente serietà della mail è semplicemente quello di rispondere al mittente chiedendo una conferma. Ovviamente se è un virus il mittente risponderà che non ti ha mandato alcun file, e si scoprirà la gabella. Basta poco, che ce vo'
che io sappia anche GMail non è esente da spam.
Per Paolo:
Potresti suggerire, in coda all'articolo sul blog, che il modo migliore per evitare di rimanere fregati dall'apparente serietà della mail è semplicemente quello di rispondere al mittente chiedendo una conferma. Ovviamente se è un virus il mittente risponderà che non ti ha mandato alcun file, e si scoprirà la gabella. Basta poco, che ce vo'
Commento pubblicato da 27/1/06 02:11
27/1/06 02:11
Mi preoccupa il fatto che sia scritto in buon italiano...quindi è stato prodotto in Italia! Che tristezza...c'è proprio gente che pensa di gaudagnarsi da vivere rovinando il lavoro sui Pc degli altri...
Commento pubblicato da 27/1/06 10:28
27/1/06 10:28
E chi ha anche chiamato il mittente che ne ha confermato l'autenticità e l'ha scompattato che puo' fare?
Per Davi:
la soluzione che ho proposto non è farina del mio sacco, più volte in passato Paolo l'ha suggerita, però visto che molti si domandano come capire, con metodi complicati per i digiuni, se il file è autentico o no, ho pensato di riproporre questa semplice soluzione.
Non capisco cosa intendi tu: se scrivi al mittente che ti conferma che ti ha inviato un file personale allora non può essere un virus automatico (a meno di aver controllato di aver scritto all'indirizzo giusto oppure che il mittente non voglia volontariamente attaccarti il computer, ma sarebbe facilmente scoperto una volta che si apre il file).
E' ovvio che questo non vale se uno ti manda un giochetto che poi ha dentro un virus che il mittente invece ignora, ma la particolarità di questa lettera era che non parla di un generico file, ma di un file importante con dati confidenziali; quindi non puoi mandarlo senza sapere se è un virus. O il file confidenziale ce l'hai o no.
la soluzione che ho proposto non è farina del mio sacco, più volte in passato Paolo l'ha suggerita, però visto che molti si domandano come capire, con metodi complicati per i digiuni, se il file è autentico o no, ho pensato di riproporre questa semplice soluzione.
Non capisco cosa intendi tu: se scrivi al mittente che ti conferma che ti ha inviato un file personale allora non può essere un virus automatico (a meno di aver controllato di aver scritto all'indirizzo giusto oppure che il mittente non voglia volontariamente attaccarti il computer, ma sarebbe facilmente scoperto una volta che si apre il file).
E' ovvio che questo non vale se uno ti manda un giochetto che poi ha dentro un virus che il mittente invece ignora, ma la particolarità di questa lettera era che non parla di un generico file, ma di un file importante con dati confidenziali; quindi non puoi mandarlo senza sapere se è un virus. O il file confidenziale ce l'hai o no.
Commento pubblicato da 27/1/06 19:42
27/1/06 19:42
io invece l'ho aperto come un pollastro ed ora ogni tanto l'antivirus mi segnala questo trojan. Cosa mi conviene fare per favore?
Commento pubblicato da 29/1/06 14:50
29/1/06 14:50
Scaricate:
http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5
e con poi KillBox cercate il nome!
Questo lo toglie!
http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5
e con poi KillBox cercate il nome!
Questo lo toglie!
Commento pubblicato da 2/2/06 13:11
2/2/06 13:11
QUESTO L'HO RICEVUTO OGGI 17/02/2006 COMUNQUE NN L'AVREI APERTO MA GRAZIE A VOI HO AVUTO NOTIZIE E QUESTO POST E UN OBBLIGO GRAZIE ANCORA.
MITTENTE:
Elena.Toni@falegnameriacereghini.com
CONTENUTO MESSAGGIO:
ciao,mi hanno trasmesso questo documento che contiene alcune informazioni. indiscrezioni su di te.ho preferito proteggerlo con password visto quel che c'è Scritto.la password per aprire lo zip è "08privato08",
quando hai unzippato. decompresso troverai un altro file word cryptato. aprilo con un doppio click.
non chiedermi chi me l'ha dato, sono già abbastanza in ansia.....
MITTENTE:
Elena.Toni@falegnameriacereghini.com
CONTENUTO MESSAGGIO:
ciao,mi hanno trasmesso questo documento che contiene alcune informazioni. indiscrezioni su di te.ho preferito proteggerlo con password visto quel che c'è Scritto.la password per aprire lo zip è "08privato08",
quando hai unzippato. decompresso troverai un altro file word cryptato. aprilo con un doppio click.
non chiedermi chi me l'ha dato, sono già abbastanza in ansia.....
Commento pubblicato da 17/2/06 11:06
17/2/06 11:06
Ciao,
ho ricevuto anch'io oggi questo virus.
Il mittente è:Chiara.Sozzi@catimpianti.com
e il contenuto è uguale al messaggio precedente.
Saluti a tutti
ho ricevuto anch'io oggi questo virus.
Il mittente è:Chiara.Sozzi@catimpianti.com
e il contenuto è uguale al messaggio precedente.
Saluti a tutti
Commento pubblicato da 17/2/06 21:11
17/2/06 21:11
Grazie mille..... per fortuna mi è venuto in mente di chiedervi se potevo aprire o no visto che sono un imbranata con il pc.....
Commento pubblicato da 18/2/06 19:05
18/2/06 19:05
> Ciao,
> ho ricevuto anch'io oggi questo > > virus.
> Il mittente è: ...
Per l'anonimo di prima: potevi evitare di mettere l'indirizzo completo di chi te l'ha mandato, un minimo di buonsenso ...
Comunque anche una mia collega l'ha ricevuto e né McAfee né AVG (AGGIORNATI AL 17 FEBBRAIO) l'hanno rilevato come virus, mi sembra grave !
> ho ricevuto anch'io oggi questo > > virus.
> Il mittente è: ...
Per l'anonimo di prima: potevi evitare di mettere l'indirizzo completo di chi te l'ha mandato, un minimo di buonsenso ...
Comunque anche una mia collega l'ha ricevuto e né McAfee né AVG (AGGIORNATI AL 17 FEBBRAIO) l'hanno rilevato come virus, mi sembra grave !
Commento pubblicato da 19/2/06 17:39
19/2/06 17:39
NON HO CAPITO COSA DEVO FARE PER LIBERARMI DEL VIRUS.
HO SCARICATO AD-AWARE SE, ED ORA? CHE COS'E' KILL-BOX?
GRAZIE GIOVANNA
HO SCARICATO AD-AWARE SE, ED ORA? CHE COS'E' KILL-BOX?
GRAZIE GIOVANNA
Commento pubblicato da 20/2/06 09:13
20/2/06 09:13
Il mio antivirus NOD 32 l'ha riconosciuto e l'ha messo in quarantena. L'ha definito "Win32/TrojanDownloader. Non chiedetemi di più perchè sono veramente ignorante in materia...
Commento pubblicato da 20/2/06 09:58
20/2/06 09:58
Per Clam AV il virus è noto dal 17 e si chiama Trojan.Clicker.Small-100-zippwd
Indatti ho sottoposto l'allegato al sito web di Clam Antivirus che mi ha risposto:
"This virus is already recognized by ClamAV 0.88/1292/Fri Feb 17 10:39:02 2006 (timezone: +0100 ) as Trojan.Clicker.Small-100-zippwd"
Ho segnalato lo stesso file con varie traversie a Norton; ho ricevuto una risposta automatica che dice che approfondiranno...
Indatti ho sottoposto l'allegato al sito web di Clam Antivirus che mi ha risposto:
"This virus is already recognized by ClamAV 0.88/1292/Fri Feb 17 10:39:02 2006 (timezone: +0100 ) as Trojan.Clicker.Small-100-zippwd"
Ho segnalato lo stesso file con varie traversie a Norton; ho ricevuto una risposta automatica che dice che approfondiranno...
Commento pubblicato da 21/2/06 09:05
21/2/06 09:05
Io ho ricevuto l'email esattamente come descritta ed ho fatto delle prove. Se volete, seguite la discussione:
http://www.wintricks.it/forum/showthread.php?s=5946a990e31bc7c0df7f3ae42e31fd23&threadid=102646&perpage=10&pagenumber=1
http://www.wintricks.it/forum/showthread.php?s=5946a990e31bc7c0df7f3ae42e31fd23&threadid=102646&perpage=10&pagenumber=1
Commento pubblicato da 21/2/06 15:58
21/2/06 15:58
Anch'io ci sono cascato come un pollo, il testo è ben fatto e la mia amica, che me l'ha inviato involontariamente, è veramente sempre ansiosa in fatto di computer. Alla fine c'era persino la sua firma. Era di notte e non l'ho contattata e quindi mi ha fregato. Devo dire che AVast non l'aveva individuato, e l'ho trovato con scansioni online di Trend e Norton.
Posta un commento
<< Home
Articoli che linkano questo articolo:
