Cerca nel blog

2005/12/27

Spam-virus natalizio

Attenti ai video di Natale, potreste trovarci regali sgaditi


Questo articolo vi arriva grazie alle gentili donazioni di "arch.gb", "info" e "giubileoa".

Sta circolando una nuova serie di messaggi che tentano di infettare chi li riceve, spacciandosi per e-mail di comuni utenti che segnalano un sito contenente video natalizi divertenti. Ecco alcuni dei testi di questi messaggi-esca:

a natale si è tutti più imbranati
http://www.goodmovieplay.com/video7.html
hehehe ciao tanti a uguri

a natale dovremmo essere tutti più buoni, invece...
http://www.goodmoviesmile.com/video2.html
a presto e auguri anche alla famiglia

scherzetto simpatico...eheheh
http://www.goodmoviesmile.com/video6.html
a presto, vi auguro buone feste

in africa non importa che tu sia leone o gazzella, l'importante è che...
http://www.goodmoviesmile.com/video4.html
a presto, auguri di buone feste e buon anno!

l'idiozia non manca mai nelle persone, soprattutto a natale, no comment
http://www.movie-laugh.com/video5.html
meglio non pensarci
tanti auguroni, ci sentiamo dopo le feste, a presto

Il meccanismo è simile a quello già descritto in un articolo precedente. Visitando il sito, parte automaticamente Windows Media Player, che tenta di visualizzare un videoclip ma produce un messaggio d'errore.

L'utente è così indotto a seguire la raccomandazione del sito, ossia scaricare e installare quelli che il sito chiama "codec aggiornati" ma sono in realtà virus: file eseguibili di nome VideoCodec3_05b_6.exe o simili, situati presso http://www.vcodecget.com/download, sito creato pochissimi giorni fa (il 22 dicembre scorso).

Inviando uno di questi "codec" al sito della Kaspersky, che li analizza gratis in tempo reale, salta fuori che contiene il virus Trojan-Clicker.Win32.Bomka.a.

A giudicare dalla diffusione dei messaggi-esca, il meccanismo di azione di questo virus è il seguente: un utente riceve il messaggio-esca, che sembra provenire da un conoscente. Incuriosito e rassicurato dalla fonte della raccomandazione, visita il sito dei filmati. Cerca di vederli e non ci riesce, e così segue il consiglio del sito: va all'altro sito, quello che ospita i "codec", e li scarica e installa, credendo che siano innocue aggiunte a Windows Media Player, mentre sono in realtà virus che infettano il suo PC (soltanto se usa Windows) e lo trasformano in disseminatore di ulteriori messaggi-esca. Non è noto se il virus abbia anche altri effetti.

La raccomandazione è la solita: mai installare programmi o altri file eseguibili di origine non certa.

Il sito goodmoviesmile.com è situato in Cina ma intestato apparentemente a un residente in Italia, secondo whois:

Benutti, Victorio
victorio_benutti@yahoo.com
Via Bonanno Pisano, 111
Pisa, 56126
Italy
050 554 423

Tuttavia è probabile si tratti di dati falsi, visto che il numero di telefono indicato risulta inesistente.

Nessun commento: