Cerca nel blog

2005/12/07

Strano minispam virale: probabile trappola nascosta in falsi codec video

Questo articolo vi arriva grazie alle gentili donazioni di "archilup", "massimiliano.ferr****" e "carlo.para****".

A partire dalle prime ore di oggi, un curioso mini-messaggio sta riempiendo caselle di posta, mailing list e forum della Rete italiana. Eccone alcuni esempi segnalatimi dai lettori:

ciao a tutti,
http://www.funnymoviesgallerie.com/72364/
guardate quello dei gatti! :-)

ciao a tutti,
ho trovato dei filmati veramente simpatici, soprattutto il secondo!!
http://www.funnymoviesgallerie.com/72364/

da morire!!!!! guardate gli ultimi due!!
http://www.funnymoviesgallerie.com/72364/

Aggiornamento (2005/12/14) Successivamente si sono varianti che puntano al sito http://www.bebotamovies.com.

Il mittente cambia nei vari messaggi e probabilmente è stato falsificato, oppure il messaggio è stato effettivamente spedito dalla casella di posta dalla quale dichiara di provenire, ma a insaputa dell'utente: in almeno un caso, infatti, l'indirizzo IP del mittente apparente coincide con quello effettivo dell'indirizzo di e-mail.

Il messaggio è privo di link-trappola (è in testo semplice, senza codici HTML che nascondono link mascherati) e privo di allegati che possano trasportare virus.

A prima vista, il sito citato nel messaggio presenta semplicemente dei rimandi a una collezione di video e non contiene codice ostile che possa iniettare virus o altre porcherie (ma è comunque opportuna molta prudenza nel visitarlo). L'unica particolarità è che digitando il nome del sito, senza la sottodirectory /72364/, si viene comunque rediretti a questa sottodirectory.

Tuttavia il sito nasconde una trappola: i video non si scaricano correttamente, e il sito reca la dicitura "se hai problemi a visualizzare i video devi aggiornare i codec di Windows Media Player. Puoi trovare i codec più aggiornati su VcodecDownload".

La dicitura linka a http://vcodecdownload.com/2, che sembrerebbe offrire dei programmi da scaricare (per Windows). Il sito dice che sono codec che consentirebbero a Windows Media Player di visualizzare i video, ma è sempre molto pericoloso scaricare programmi da siti sconosciuti e di dubbia affidabilità.

È molto sospetto che il sito dei video e il sito dei codec siano entrambi intestati a un improbabile "Brad Robertson, P.O.Box 31607, Code 1000, Addis Ababa Beijing ET, tel: 00 025 16610221 0, fax: 00 025 16610221 0, brad22584@post.cz". Cosa c'entra Beijing, altro nome di Pechino, con Addis Abeba? E come mai i numeri di telefono e fax iniziano con tre zeri? E perché un utente etiope (o pechinese) dovrebbe avere una casella di posta col suffisso cz della Repubblica Ceca? Ci sono anche altri dati contraddittori.

Inoltre la data di registrazione dei siti è recentissima (il 2 dicembre scorso) e la registrazione vale un solo anno: tipici segni di uno spammer o di un truffatore.

A giudicare dalla qualità dell'italiano usato, e dal fatto che lo spam e il sito sono in italiano, sembra che si tratti di uno spam destinato specificamente agli italofoni.

Il probabile meccanismo di attacco è questo: un utente riceve il messaggio di spam e, incuriosito, visita il sito dei filmati. Cerca di vederli e non ci riesce, e così segue il consiglio del sito: va all'altro sito, quello che ospita i "codec", e li scarica e installa, credendo che siano innocue aggiunte a Windows Media Player, mentre sono in realtà virus che infettano il suo PC Windows e lo trasformano in disseminatore di spam.

Al momento questa è un'ipotesi non verificata ma basata sulle circostanze: non ho a disposizione una macchina Windows sacrificabile sulla quale confermare la probabile natura virale di questi "codec" altamente sospetti: se qualcuno ce l'ha, può segnalare nei commenti i risultati dell'installazione del software scaricato.

Mi associo ai commenti già arrivati consigliando vivamente a chiunque abbia scaricato e installato questi "codec" di eseguire subito una pulizia antivirus usando un antivirus aggiornato. Va detto, tuttavia, che l'attacco è talmente recente che gli antivirus potrebbero non riconoscere l'infezione (AVG, per esempio, per ora non rileva pericoli), per cui conviene ripetere il controllo antivirus anche fra un paio di giorni, quando gli antivirus saranno stati aggiornati.

Aggiornamento (2005/12/14) L'ipotesi è confermata, e gli antivirus cominciano a identificare correttamente il virus che viene installato quando si scarica e si installa uno dei falsi "codec".

Nessun commento: