Spam avvocato Gentili, dettagli tecnici 1.12.06 Permalink 44 commenti
Dettagli tecnici sull'attacco informatico di ieri
Questo articolo vi arriva grazie alle gentili donazioni di "fabrix" e "manuel.is****". L'articolo è stato aggiornato dopo la pubblicazione iniziale.
Il virus linkato nello spam di ieri, quello che si spaccia per una diffida di un inesistente avvocato Gentili, è ora riconosciuto dal test online di Kaspersky come Trojan-Dropper.Win32.Agent.azv (grazie a gianluca81 per la segnalazione).
Da Paolo Monti di NOD32.it ricevo queste info tecniche sul virus ospitato presso i siti-trappola indicati nel messaggio di spam. Il file si chiama removal_tool.exe, occupa 70144 byte ed è compresso con UPX. Se eseguito, installa una libreria dinamica (DLL) con il nome webdesk.dll nella cartella di sistema predefinita di Windows.
La DLL viene installata come Browser Helper Object di Internet Explorer, ovvero come modulo che verrà caricato da IE ad ogni avvio. La DLL ha una dimensione di 46080 byte ed è compressa con il programma UPX. Entrambe i file eseguibili, EXE e DLL, sono scritti con il compilatore Visual C++. Probabilmente si tratta di un'infezione che ha funzioni di spyware, dice Monti.
La DLL, se scompattata, rivela la presenza di queste stringhe di testo:
www.blackblues00.com
www.rockantistar.com
www.fantasywaves.com
www.blackskycorp.com
www.rosewinery.com
http://www.microsoft.com
http://www.omegashippingcorp.com/s2.php
Secondo Paolo Monti, il virus contiene chiare indicazioni del fatto che si tratta di un malware italiano, come la presenza di queste stringhe di testo nel file removal_tool.exe:
WinMerd
|*police.it|*poliziadistato.it|*polizia-penitenziaria.it|*polstrada.it|*poliziamunicipale.it|
*polmunicipalemartina.it|*munipol.it|*polizia.it|*carabinieri.it|
*carabinieri-bellinzona.com|*carabinieri.net|*interno.it|*uilinterno.it|
*mininterno.it|*nsd.it|*admi.it|*concorsi.it|*esteri.it|*codacons.it|*punto-informatico.it|
*clusit.it|*criminologia.org|*diritto.it|*agcom.it|*attivissimo.net|
*serviziinformazionesicurezza.gov.it|*sisde.it|*governo.it|*palazzochigi.it|
|*polizi*|*avvoca*|*finan*|*police*|*carabini*|*polpost*|*comando*|*questur*|
Noterete l'inquietante presenza di attivissimo.net nella lista :-)
Altre stringhe trovate da Paolo Monti indicano che è il virus è chiaramente confezionato su misura per il mercato italiano:
Sono stati rimossi i seguenti virus:
Evil mailer 1.0.87
Non sono stati rilevati virus.
Virus Killer 5.1
Questi, presumibilmente, sono i falsi messaggi che visualizza il virus per spacciarsi come antivirus.
Questo articolo vi arriva grazie alle gentili donazioni di "fabrix" e "manuel.is****". L'articolo è stato aggiornato dopo la pubblicazione iniziale.
Il virus linkato nello spam di ieri, quello che si spaccia per una diffida di un inesistente avvocato Gentili, è ora riconosciuto dal test online di Kaspersky come Trojan-Dropper.Win32.Agent.azv (grazie a gianluca81 per la segnalazione).
Da Paolo Monti di NOD32.it ricevo queste info tecniche sul virus ospitato presso i siti-trappola indicati nel messaggio di spam. Il file si chiama removal_tool.exe, occupa 70144 byte ed è compresso con UPX. Se eseguito, installa una libreria dinamica (DLL) con il nome webdesk.dll nella cartella di sistema predefinita di Windows.
La DLL viene installata come Browser Helper Object di Internet Explorer, ovvero come modulo che verrà caricato da IE ad ogni avvio. La DLL ha una dimensione di 46080 byte ed è compressa con il programma UPX. Entrambe i file eseguibili, EXE e DLL, sono scritti con il compilatore Visual C++. Probabilmente si tratta di un'infezione che ha funzioni di spyware, dice Monti.
La DLL, se scompattata, rivela la presenza di queste stringhe di testo:
www.blackblues00.com
www.rockantistar.com
www.fantasywaves.com
www.blackskycorp.com
www.rosewinery.com
http://www.microsoft.com
http://www.omegashippingcorp.com/s2.php
Secondo Paolo Monti, il virus contiene chiare indicazioni del fatto che si tratta di un malware italiano, come la presenza di queste stringhe di testo nel file removal_tool.exe:
WinMerd
|*police.it|*poliziadistato.it|*polizia-penitenziaria.it|*polstrada.it|*poliziamunicipale.it|
*polmunicipalemartina.it|*munipol.it|*polizia.it|*carabinieri.it|
*carabinieri-bellinzona.com|*carabinieri.net|*interno.it|*uilinterno.it|
*mininterno.it|*nsd.it|*admi.it|*concorsi.it|*esteri.it|*codacons.it|*punto-informatico.it|
*clusit.it|*criminologia.org|*diritto.it|*agcom.it|*attivissimo.net|
*serviziinformazionesicurezza.gov.it|*sisde.it|*governo.it|*palazzochigi.it|
|*polizi*|*avvoca*|*finan*|*police*|*carabini*|*polpost*|*comando*|*questur*|
Noterete l'inquietante presenza di attivissimo.net nella lista :-)
Altre stringhe trovate da Paolo Monti indicano che è il virus è chiaramente confezionato su misura per il mercato italiano:
Sono stati rimossi i seguenti virus:
Evil mailer 1.0.87
Non sono stati rilevati virus.
Virus Killer 5.1
Questi, presumibilmente, sono i falsi messaggi che visualizza il virus per spacciarsi come antivirus.
Commenti:
<< Home
Per caso le stringhe sono dei "residui" di cookies presenti nel computer del creatore del virus al momento della compilazione?
Inquietante??
Ma se ti odiano per il solo fatto che ogni tanto dimostri agli imbecilli che sono anche cretini .. figurati come sei amato tra quelli che ci vivono sui cretini...
Ma se ti odiano per il solo fatto che ogni tanto dimostri agli imbecilli che sono anche cretini .. figurati come sei amato tra quelli che ci vivono sui cretini...
A puro titolo informativo Paolo volevo comunicarti che l'antispam di Thunderbird (almeno per quanto mi riguarda) ha marcato come Junk questo articolo inviato tramite mailing list, stavolta la tua consueta cautela per non incappare nei filtri antispam non ha dato i suoi frutti :)
adesso sei tra i miei trusted sender...almeno evitiamo i problemi
adesso sei tra i miei trusted sender...almeno evitiamo i problemi
E' vero che quell'avvocato è un imbecille!
Alla fin fine quale è il suo scopo?
Infettare un p.c.?
E per ricavarne cosa, poi?
Nulla.
Conclusione: E' un imbecille!
Alla fin fine quale è il suo scopo?
Infettare un p.c.?
E per ricavarne cosa, poi?
Nulla.
Conclusione: E' un imbecille!
Commento pubblicato da 
1/12/06 10:56
1/12/06 10:56
La domanda e' cosa fa questo virus?
E la lista di quei domini, serve a qualcosa? Tipo lo spyware si attiva quando viene visitato un sito all'interno di quei domini?
E la lista di quei domini, serve a qualcosa? Tipo lo spyware si attiva quando viene visitato un sito all'interno di quei domini?
Commento pubblicato da 1/12/06 11:09
1/12/06 11:09
"l'antispam di Thunderbird (almeno per quanto mi riguarda) ha marcato come Junk questo articolo inviato tramite mailing list"
Il mio Antispam di TB (1.5.0.8) invece, intuendo chi fosse Paolo Attivissimo, l'ha lasciato passare indenne !! :-)
Marco
Il mio Antispam di TB (1.5.0.8) invece, intuendo chi fosse Paolo Attivissimo, l'ha lasciato passare indenne !! :-)
Marco
Commento pubblicato da 1/12/06 11:11
1/12/06 11:11
Come da articolo di Punto Informatico, la DLL non si installa se il dominio del ricevente e' incluso fra quelli elencati, che probabilmente rappresentano quelli che l"untore" non vuole fare incazzare. Paolo e' incluso...
Inoltre, notiamo il sito della Polizia Municipale di Martina Franca (Taranto) e dei Carabinieri di Bellinzona..
Il nostro amico e' pugliese? O svizzero?
Inoltre, notiamo il sito della Polizia Municipale di Martina Franca (Taranto) e dei Carabinieri di Bellinzona..
Il nostro amico e' pugliese? O svizzero?
Commento pubblicato da 1/12/06 11:18
1/12/06 11:18
E ha interesse a non infettare gente di concorsi.it. Qualcuno riesce a fare ricerche incrociate? Sono disponibile per un gruppo di lavoro.
Hai fatto bene a non mettere le stringhe del virus nella tua email. Qualunque antispam, vedendo www.microsoft.com, lo avrebbe fermato ;-)
Paolo, il tuo sito è tra la polizia di stato e il sisde. Come fai a continuare a dire che non sei pagato dalla CIA?
:-)
Marco B.
:-)
Marco B.
Commento pubblicato da 1/12/06 13:58
1/12/06 13:58
Inoltre, notiamo il sito della Polizia Municipale di Martina Franca (Taranto) e dei Carabinieri di Bellinzona
??? a bellinzona i carabinieri ???
abbiamo annesso il canton ticino ????
??? a bellinzona i carabinieri ???
abbiamo annesso il canton ticino ????
Commento pubblicato da 1/12/06 14:58
1/12/06 14:58
carabinieri-bellinzona.com e' il sito della "Societa' Carabinieri Bellinzona", solo un gruppo di amanti delle armi e di tiro al bersaglio.
Scusate l'imperdonabile refuso.
Scusate l'imperdonabile refuso.
Commento pubblicato da 1/12/06 15:08
1/12/06 15:08
altro sedicende avvocato è tale:
Avv. Ettore Balzani", con account di posta: "balzaniavvstudio" e dominio "fastwebnet.it"
Avv. Ettore Balzani", con account di posta: "balzaniavvstudio" e dominio "fastwebnet.it"
Commento pubblicato da 1/12/06 15:08
1/12/06 15:08
Molto interessanti Paolo questi dettagli. Mi sono occupato anch'io del problema sul mio blog (sul tuo non c'era ancora), ma poi, per gli aggiornamenti ho linkato al tuo.
Ancora complimenti.
Antonio
Ancora complimenti.
Antonio
Appena ricevuta...
Ciao, Roberto (nintendofan@interfree.it) ti invita a guardare questo video della Nintendo, clikka sul link sottostante per visionarlo
http://www.brain-a-friend.com
mi sapete dire cos'è?
ps. non mi chiamo roberto e
non mi piacciono i giochi.
Ciao, Roberto (nintendofan@interfree.it) ti invita a guardare questo video della Nintendo, clikka sul link sottostante per visionarlo
http://www.brain-a-friend.com
mi sapete dire cos'è?
ps. non mi chiamo roberto e
non mi piacciono i giochi.
Commento pubblicato da 1/12/06 18:16
1/12/06 18:16
scusate se utilizzo questo spazio per chiedere una cosa direttamente a Paolo (ed eventualmente avere un riscontro anche vostro) ma non sarebbe ora di analizzare anche la questione aids? vista anche la ricorrenza odierna. Ci sono tanti punti da chiarire.
Andrea
Andrea
Commento pubblicato da 1/12/06 18:29
1/12/06 18:29
Noterete l'inquietante presenza di attivissimo.net nella lista :-)
ROFL!!!
ROFL!!!
Commento pubblicato da 1/12/06 18:55
1/12/06 18:55
Io l'ho ricevuta giovedi mattina alle otto, forse tra i primi. Mi ha fatto passare un brutto quarto d'ora finchè non ho "sgamato" il trucco analizzando gli header e facendo qualche ricerca incrociata sull'ordine degli avvocati.
Ero tanto scioccato da esserci quasi cascato che ho fatto una riflessione: perchè ha fatto notizia? Semplice- E' cofezionata molto bene, in italiano, e soprattutto proviene da un account legittimo (almeno la mia veniva da un dial-up di libero attraverso il loro smtp).
Quindi gran parte degli spam filter non l'ha cassata con il reverse lookup.
Sul momento ho anche mandato un report ad abuse@libero.it, ma temo che i signori di Wind se ne infischino: tutt'al più gli chiudono l'account ma non lo denunciano certo alla magistratura.
Infatti, in giornata, (per loro iniziativa o su richiesta della polizia giudiziaria) possono sicuramente risalire al punto esatto di collegamento (telefono o ADSL). Il resto lo fa il giudice.
Chissà forse uno degli Avvocati Gentili subissati di telefonate smuoverà le acque?
Ero tanto scioccato da esserci quasi cascato che ho fatto una riflessione: perchè ha fatto notizia? Semplice- E' cofezionata molto bene, in italiano, e soprattutto proviene da un account legittimo (almeno la mia veniva da un dial-up di libero attraverso il loro smtp).
Quindi gran parte degli spam filter non l'ha cassata con il reverse lookup.
Sul momento ho anche mandato un report ad abuse@libero.it, ma temo che i signori di Wind se ne infischino: tutt'al più gli chiudono l'account ma non lo denunciano certo alla magistratura.
Infatti, in giornata, (per loro iniziativa o su richiesta della polizia giudiziaria) possono sicuramente risalire al punto esatto di collegamento (telefono o ADSL). Il resto lo fa il giudice.
Chissà forse uno degli Avvocati Gentili subissati di telefonate smuoverà le acque?
Commento pubblicato da 1/12/06 22:29
1/12/06 22:29
Vince e tutti gli altri che sostengono di sapere l'IP di chi l'ha mandato: questo tipo di spam, specie quello di questa portata, proviene SEMPRE da botnet... in altre parole il computer che effettivamente esegue l'invio non e' certo di proprieta' dello spammer, e' sempicemente un computer infetto controllato da remoto dallo spammer.
Commento pubblicato da 2/12/06 00:01
2/12/06 00:01
Aggiungo questa versione:
Buongiorno,
lei e molti altri della mia lista contatti mi avete inviato il messaggio che allego
qui sotto. Purtroppo ho paura che si tratti di un nuovo worm che si sta diffondendo
ultimamente, le consiglio di eliminarlo al più presto
per scongiurare danni peggiori al suo computer!
Io l'ho eliminato con il tool che ho trovato a questa url:
http://www.spywaresmasher.biz
Spero di esserle stato d'aiuto
saluti cordiali
Manuel Molinaro
----- Original Message -----
From: MIAMAIL@vi rgilio.it
To: 'Manuel Molinaro'
Sent: November 26, 2006 18:43
Subject: ehehehe
apri lo zip allegato è un gioco porno!
eseguilo e fallo girare!!
ci sentiamo
[MIAMAIL]@v irgilio.it
Buongiorno,
lei e molti altri della mia lista contatti mi avete inviato il messaggio che allego
qui sotto. Purtroppo ho paura che si tratti di un nuovo worm che si sta diffondendo
ultimamente, le consiglio di eliminarlo al più presto
per scongiurare danni peggiori al suo computer!
Io l'ho eliminato con il tool che ho trovato a questa url:
http://www.spywaresmasher.biz
Spero di esserle stato d'aiuto
saluti cordiali
Manuel Molinaro
----- Original Message -----
From: MIAMAIL@vi rgilio.it
To: 'Manuel Molinaro'
Sent: November 26, 2006 18:43
Subject: ehehehe
apri lo zip allegato è un gioco porno!
eseguilo e fallo girare!!
ci sentiamo
[MIAMAIL]@v irgilio.it
Commento pubblicato da 2/12/06 09:59
2/12/06 09:59
Ricevuta da un certo "Mirko Cosattini", pochi minuti fa.Il dominio ".biz" del sito mi ha reso subito diffidente...2 minuti di ricerca su questo fantomatico Virus Killer 5.1 mi hanno portato qui. :)
____________________________
Buongiorno,
lei e anche altri mi avete inviato il messaggio che inoltro
qui sotto. Purtroppo ho paura che si tratti del nuovo worm che si sta diffondendo
in questi giorni, le consiglio di rimuoverlo al più presto
per evitare danni peggiori ai suoi documenti!
Io l'ho rimosso con il tool disponibile in questo sito:
http://www.adwaredestroyer.biz
Mi auguro che riesca a rimuoverlo
Cordialità
Mirko Cosattini
----- Original Message -----
From: (mia)@(mail).it
To: 'Mirko Cosattini'
Sent: November 24, 2006 15:17
Subject: troppo bello
apri il documento allegato è un game sessuale!
eseguilo e fallo girare!!
ciao!
(mia)@(mail).it
____________________________
Buongiorno,
lei e anche altri mi avete inviato il messaggio che inoltro
qui sotto. Purtroppo ho paura che si tratti del nuovo worm che si sta diffondendo
in questi giorni, le consiglio di rimuoverlo al più presto
per evitare danni peggiori ai suoi documenti!
Io l'ho rimosso con il tool disponibile in questo sito:
http://www.adwaredestroyer.biz
Mi auguro che riesca a rimuoverlo
Cordialità
Mirko Cosattini
----- Original Message -----
From: (mia)@(mail).it
To: 'Mirko Cosattini'
Sent: November 24, 2006 15:17
Subject: troppo bello
apri il documento allegato è un game sessuale!
eseguilo e fallo girare!!
ciao!
(mia)@(mail).it
Commento pubblicato da 2/12/06 13:46
2/12/06 13:46
Mi aiutate perfavore?
Ho ricevuto una mail uguale a quelle riportate ed ho abboccato!
Ho installato un virus nel mio pc?
Per rimuoverlo basta il normale antivirus?
Quali potenziali danni rischio?
Grazie mille!
Elisa
Ho ricevuto una mail uguale a quelle riportate ed ho abboccato!
Ho installato un virus nel mio pc?
Per rimuoverlo basta il normale antivirus?
Quali potenziali danni rischio?
Grazie mille!
Elisa
Commento pubblicato da 2/12/06 22:00
2/12/06 22:00
Per chiunque avesse abboccato lanciando il removal_tool.exe che inocula lo Spambot, un efficace antidoto è scaricabile all'indirizzo
http://www.nod32.it/cgi-bin/mapdl.pl?tool=SpamBot
Autore è il Monti altrove citato nel Blog
http://www.nod32.it/cgi-bin/mapdl.pl?tool=SpamBot
Autore è il Monti altrove citato nel Blog
Commento pubblicato da 3/12/06 13:05
3/12/06 13:05
Nella azienda per cui lavoro abbiamo ricevuto più di una di queste e-mail.
La variante qui era "studio Gentili - Roma"
Qui per chi interessa i dettagli Truffa e-mail
La variante qui era "studio Gentili - Roma"
Qui per chi interessa i dettagli Truffa e-mail
Tnt, hai probabilmente ragione. Il mio commento è stato superficiale e forse dettato dal fatto che essereci quasi cascato "mi brucia". Ma non so se qualcuno si prenda mai la briga di controllare. Tutti fanno qualche sciocchezza prima o poi ... anche gli spammer. Senza dubbio chi ha mandato questa roba qui è un bel professionista, coma in Italia forse non s'era mai visto. Preoccupante.
Commento pubblicato da 4/12/06 08:46
4/12/06 08:46
Ho ricevuto una mail simile, ma non indirizzata da un avvocato, bensì da un utenete qualsiasi che però indirizza ad un sito dove è presente lo stesso virus removal_tool.exe
Commento pubblicato da 4/12/06 09:36
4/12/06 09:36
il nod32 nn mi cancellate definitivamente il virus!!! come faccio a cancellarlo definitivamente? grazie
Commento pubblicato da 4/12/06 11:37
4/12/06 11:37
se andate su Whois potete verificare l'IP del dominio adwaredestroyer.biz.
Facendo reverse IP, troverete altre decine di nomi di dominio .biz dal nome simile o che comunque richiama il senso che probabilmente verrano utilizzati in attacchi futuri... Vi consiglio di bloccare l'IP..
Ciao
Facendo reverse IP, troverete altre decine di nomi di dominio .biz dal nome simile o che comunque richiama il senso che probabilmente verrano utilizzati in attacchi futuri... Vi consiglio di bloccare l'IP..
Ciao
Commento pubblicato da 4/12/06 12:02
4/12/06 12:02
La variante dell'avvocato, che ho ricevuto stamattina, me l'ha spedita un fantomatico Alex Baldassino. Se vi interessa ho scritto due righe sul mio blog.
Ho ricevuto un'altra variante, il mittente adesso è:
Alberto Udorovich alberto.udorovich.77@inwind.it
Occhi aperti!
Pas
Alberto Udorovich alberto.udorovich.77@inwind.it
Occhi aperti!
Pas
Commento pubblicato da 4/12/06 23:08
4/12/06 23:08
Ho ricevuto una variante di questa mail...
Buonasera,
lei e anche altri della mia rubrica mi avete inviato la mail che riporto di seguito. Purtroppo temo si tratti di un nuovo worm che si sta diffondendo in questi giorni, le consiglio di rimuoverlo al più presto
per evitare danni peggiori ai suoi documenti!
Io l'ho eliminato con il removal tool disponibile in questo sito:
http://www.1st-In-SpyWare-Killer.biz
Mi auguro che possa risolvere
Cordialità
Mattia Cuttini
----- Original Message -----
From:
To: 'Mattia Cuttini'
Sent: November 30, 2006 10:49
Subject: giochino
apri il file allegato è un game porno!
clicca e fallo girare!!
ciao!
Buonasera,
lei e anche altri della mia rubrica mi avete inviato la mail che riporto di seguito. Purtroppo temo si tratti di un nuovo worm che si sta diffondendo in questi giorni, le consiglio di rimuoverlo al più presto
per evitare danni peggiori ai suoi documenti!
Io l'ho eliminato con il removal tool disponibile in questo sito:
http://www.1st-In-SpyWare-Killer.biz
Mi auguro che possa risolvere
Cordialità
Mattia Cuttini
----- Original Message -----
From:
To: 'Mattia Cuttini'
Sent: November 30, 2006 10:49
Subject: giochino
apri il file allegato è un game porno!
clicca e fallo girare!!
ciao!
Commento pubblicato da 5/12/06 01:04
5/12/06 01:04
Nuova variante: la mail ha lo stesso testo, ma il link punta verso http://www.adwarestoper.biz e il mittente è un certo Gianluca Feruglio.
ciao Fil
ciao Fil
Anch'io vorrei segnalare una variante: l'avvocato stavolta è Wingolf (proprio così!) e l'indirizzo completo è:
Studio Legale
Tommaso Wingolf e associati
Via Pascanella 76
Venezia
Stavo per rispondergli: "Ma installatelo te l'antivirus", anche se il tono minatorio lì per lì mi aveva allarmato. Ovviamente non risultano Wingolf a Venezia, né su Pagine Gialle né su Pagine Bianche... Il link è http://www.nowimprotected.com, e sostiene di essere il migliore per bloccare virus e "Troians"...
Studio Legale
Tommaso Wingolf e associati
Via Pascanella 76
Venezia
Stavo per rispondergli: "Ma installatelo te l'antivirus", anche se il tono minatorio lì per lì mi aveva allarmato. Ovviamente non risultano Wingolf a Venezia, né su Pagine Gialle né su Pagine Bianche... Il link è http://www.nowimprotected.com, e sostiene di essere il migliore per bloccare virus e "Troians"...
Commento pubblicato da 6/12/06 11:38
6/12/06 11:38
Ciao a tutti e complimenti.
Vorrei segnalare una nuova variante, che ho ricevuto oggi:
Da: gianluca.adalbert.87@supereva.it
Data: 06/12/2006 1.54
A: xxx@xxx.xx
Ogg: abusi
-- snip --
Gentile utente xxx@xxx.xx,
sono l'avvocato Gianluca Adalbert titolare dell'omonimo studio Legale,
-- snip --
con link a http://www.addwarekiller.com
-- snip --
Ufficio Legale
Gianluca Adalbert e associati
Corso Magenta 14
la cosa che mi ha incuriosito è che... se fosse un avvocato, sarebbe uno sprovveduto, scrive come un cane.
Promette di denunciare, di passare alle vie legali, quello che ha ottenuto per adesso, è una segnalazione ad abuse.
Mi ha fatto incontrare il vostro blog, quindi devo ringraziarlo!
Vorrei segnalare una nuova variante, che ho ricevuto oggi:
Da: gianluca.adalbert.87@supereva.it
Data: 06/12/2006 1.54
A: xxx@xxx.xx
Ogg: abusi
-- snip --
Gentile utente xxx@xxx.xx,
sono l'avvocato Gianluca Adalbert titolare dell'omonimo studio Legale,
-- snip --
con link a http://www.addwarekiller.com
-- snip --
Ufficio Legale
Gianluca Adalbert e associati
Corso Magenta 14
la cosa che mi ha incuriosito è che... se fosse un avvocato, sarebbe uno sprovveduto, scrive come un cane.
Promette di denunciare, di passare alle vie legali, quello che ha ottenuto per adesso, è una segnalazione ad abuse.
Mi ha fatto incontrare il vostro blog, quindi devo ringraziarlo!
Commento pubblicato da 6/12/06 17:24
6/12/06 17:24
E' uscita una nuova variante questa volta è inviata da "Stud. Legale
Giacomo Jannis e soci".
Il dominio di riferimento è diverso diverso, il removal_tool.exe mi pare lo stesso.
Digitismi - Ax
Giacomo Jannis e soci".
Il dominio di riferimento è diverso diverso, il removal_tool.exe mi pare lo stesso.
Digitismi - Ax
Dagli ultimi messaggi mi pare di capire che sono passati ad usare nomi di avocati immaginari. Devono aver capito che è meglio non far arrabbiare quelli veri come aveva notato qualcuno in qualche commento.
Ci leggono, o dobbiamo sperare che qualche avvocato si è mosso davvero?
Ci leggono, o dobbiamo sperare che qualche avvocato si è mosso davvero?
Di sicuro far incazzare gli avvocati veri con i messaggi da queli falsi non gli conviene... specialmente se, come sembra dal linguaggio, sono spammer italiani. >:D
Commento pubblicato da 7/12/06 12:04
7/12/06 12:04
Attenzione, il virus malefico continua a fare danni. Confermo che NOD32 non lo rileva. E nemmeno Avast. Ho dovuto installare Kaspersky per trovarlo e neutralizzarlo.
Confermo anche che si tratta del virus:
Trojan-dropper.Win32.Agent.azv
saluti
Max
Confermo anche che si tratta del virus:
Trojan-dropper.Win32.Agent.azv
saluti
Max
Commento pubblicato da 7/12/06 17:56
7/12/06 17:56
sembra che il famoso avvocato cambi continuamente....
L'email che ho sottomano punta ad un nuovo sito (anche se sembra gia oscurato) WWW.ADDWAREKILLER.COM, registrato da un sito cinese a nome di :
Steven Marcus
Quequin 774 Quito5574 Canar,Ecuador
tel: 593 547 558741
fax: 593 547 558741
Ma il sito è in cina.
Ho rintracciato L'ip da cui partono le email.....e ancora cina.
La mia impressione è che qualcuno usi server russi e cinesi come ripetitori, ma la base sono quasi certo sia qui in italia.....
non è che posso dare un occhiata al EXE in questione, vorrei cercare di capire cosa fa in concreto e sopratutto dove si va a collegare......
shadowcrack
Posta un commento
L'email che ho sottomano punta ad un nuovo sito (anche se sembra gia oscurato) WWW.ADDWAREKILLER.COM, registrato da un sito cinese a nome di :
Steven Marcus
Quequin 774 Quito5574 Canar,Ecuador
tel: 593 547 558741
fax: 593 547 558741
Ma il sito è in cina.
Ho rintracciato L'ip da cui partono le email.....e ancora cina.
La mia impressione è che qualcuno usi server russi e cinesi come ripetitori, ma la base sono quasi certo sia qui in italia.....
non è che posso dare un occhiata al EXE in questione, vorrei cercare di capire cosa fa in concreto e sopratutto dove si va a collegare......
shadowcrack
Commento pubblicato da 8/12/06 00:33
8/12/06 00:33
<< Home
Articoli che linkano questo articolo:
