Cerca nel blog

2006/01/26

Sicurezza: non aprite quel giochino

Questo articolo vi arriva grazie alle gentili donazioni di "mario.flo****", "mastervb2001" e "colombo.impi****".

Giornata vivace per gli attacchi informatici, quella di oggi 26/1/2006. Dopo l'allegato-trappola che si spaccia per un documento Word scottante, ora arriva l'allegato che si spaccia per un giochino irresistibile. Ecco un esempio del suo testo:

Vi mando un gioco flash divertentissimo!

Quando avete 30 secondi unzippa te l'allegato!

poi mandatemi il punteggio che avete fatto,
io ho fatto 105 ma senza molti tentativi!

sicuramente miglior gioco flash degli ultimi anni!

c iao

Diego

ps : passalo ai colleghi :)

Gli spazi in più presenti in alcune parole sono quelli del messaggio originale, e sono diversi da messaggio a messaggio: caratteristica che accomuna questo tentativo di infezione con l'altro attacco di oggi. Non è l'unico punto in comune: anche qui, l'allegato è un file ZIP (stavolta non cifrato), di nome "gioco.zip", "giocoflash.zip", "flashgame.zip" o simili, che contiene un programma di nome "freccette.exe" oppure "birra.exe" (i nomi possono variare).

L'altro punto saliente in comune con l'attacco precedente è che anche in questo caso il virus (più propriamente trojan) è, secondo l'analisi online di Webimmune.net (McAfee AVERT), Adclicker-DW, programma che infetta i PC Windows e fa loro visualizzare pubblicità indesiderata. Anche qui, inoltre, il mittente apparente è una persona conosciuta alla vittima.

La raccomandazione è anch'essa analoga: non aprite gli allegati sospetti o inattesi. Se ricevete un allegato inatteso, chiedetene conferma al mittente. Non fidatevi del mittente apparente: è facilmente falsificabile, per cui non mandate e-mail d'insulti a chi sembra avervi mandato il file infetto.

L'infezione agisce sui sistemi Windows ma non comporta alcun pericolo per gli utenti Linux o Mac. Gli utenti Windows che cestinano l'allegato senza eseguirlo non vengono infettati.

Ciao da Paolo.

26 commenti:

Anonimo ha detto...

Quest'attacco sfrutta un meccanismo psicologico particolarmente fetente. Non so voi ma io ho almeno 4 amici che passano il tempo inoltrando giochini ed amenita varie a tutta la loro friend list.

Saluti
Marc

Anonimo ha detto...

Neanche gli utenti che censtinano windows senza eseguirlo vengono infettati.
mc

Anonimo ha detto...

>> Neanche gli utenti che censtinano windows senza eseguirlo vengono infettati.

Essendo un attacco che può funzionare su ogni sistema operativo (e danni se ne riesce a fare anche se gira sotto linux con utente non root), il commento è puramente flammatorio.

Anonimo ha detto...

Ragazzi, stavolta stavo per cascarci... per caso l'occhio è caduto sull'email di Paolo pochi istanti prima che....Grazie Topone
AL

Anonimo ha detto...

Flammatoria l'idea di cestinare Windows? Secondo me, no. Tutt'altro! Sono anni (dal 1986, per la precisione...) che ogni tanto qualcuno mi dice in tono cassandresco: "Ridi, ridi tu col Mac. Vedrai che prima o poi tocca anche a te!" Sono ancora in trepida attesa...

Anonimo ha detto...

Grazie a Paolo della segnalazione!

Mi chiedo come i mandanti dell'attacco possano guadagnare davvero con questo tipo di pubblicità!

Voglio dire: mettiamo che mi infetto. Conseguenza: danni vari al SO e ai documenti personali nonché comparsa di pubblicità... E secondo voi io dovrei essere pronto a dar credito alla pubblicità che mi ha raggiunto in quel modo? Dovrei correre a comprare i loro prodotti per ringraziamento dell'infezione?

E' come se chi piazza i volantini sulle auto invece di metterli sotto il tergicristallo vi spaccasse il finestrino per appiccicarveli al volante! Voi comprereste un prodotto reclamizzato con questi mezzi???
Appunto.(Come direbbe il buon Paolo ;-)

Se continuano qualcuno che abbocca ci deve pur essere... altrimenti che convenienza avrebbero?

Eppure non mi capacito! Ok abboccare all'amo... può capitare a tutti. Ma una volta scoperta l'infezione continuare a dar retta al vandalo... è da masochisti!!!

Fry Simpson

Th3-Fly1ng-Pumpk1n ha detto...

è arrivato anche nel mio ufficio ieri....ho fatto una scansione con McAfee (definizioni aggiornate) sul file .exe, ma non ha rilevato alcun virus... :(
Provo con Spy-bot....

Ciao... :)

Triskell ha detto...

A me è arrivato un messaggio già ripulito dell'allegato:" L'allegato al messaggio e' stato controllato dal Servizio Antivirus
freccette.exe era infetto con il virus Trojan.Adclicker ed e' stato cancellato perche' il file non poteva essere pulito. This message has been processed by the Brightmail(tm) Anti-Virus Solution using
Symantec's Norton AntiVirus Technology."

Ugo ha detto...

Ieri avevo postato un commento all'altro post, dicendo che mi era arrivato freccette.exe e che non veniva riconosciuto dal Kaspersky online. Oggi ho riprovato e l'ha riconosciuto, con questa risposta:

Scanned file: freccette.exe
freccette.exe/stream/Script - OK
freccette.exestream/data0001 - infected by Trojan-Downloader.Win32.Small.cgz
freccette.exe/stream/data0002 - OK
freccette.exe/stream/data0003 - OK
freccette.exe/stream/data0004 - infected by Trojan-Clicker.Win32.Bomka.d
freccette.exe/stream/data0005 - OK

Meglio tardi che mai; effettivamente è un attacco più pericoloso di altri, l'email è davvero molto più verosimile di tante altre ricevute.

Anonimo ha detto...

Per mettere una barriera in più tra gli spammer e la vostra casella di e-mail usate


Popfile


(pubblicità a cura di un utente soddisfatto :-)

Anonimo ha detto...

Aaaah... ma è il nostro "amico" Bomka, lo stesso dei "filmati divertenti"/vcodec. Per la cronaca, pare proprio che questi non siano altro che gli ennesimi affiliati di Coolwebsearch, ma il linguaggio in italiano credibilissimo fa fortemente sospettare che abbiano trovato affiliati anche in Italia. Francamente trovo veramente incredibile che questa rete criminale sia ancora libera ed indisturbata; a quanto pare anche l'exploit WMF di unionseek (il primo apparso "in the wild", oltre che il primo apparso in assoluto) fosse roba loro.

TNT

Th3-Fly1ng-Pumpk1n ha detto...

un aggiornamento: McAfee anche con gli ultimi aggiornamenti non ha trovato tracce di virus nel file. Nemmeno ad-aware si è accorto di nulla (forse quest'ultimo non ha trovato traccia di nulla perchè il file non è stato eseguito?)

rgh ha detto...

Nemmeno AVG si accorge di freccette.exe.
Se eseguito (come qualcuno ha fatto sul mio pc di casa...) chessifà?
qualcunolosà?

Andrea ha detto...

Forse è il caso di sgombrare il campo da qualche equivoco. I due mondi, Windows e Linux, sono incompatibili. Quindi i programmi che girano sotto uno non possono girare sotto l'altro e viceversa. Analogo discorso vale per i virus. Ecco per cui un file .exe (estensione classica - anche se spesso "mascherata" - dei virus che girano su windows) non potrà mai essere avviato, almeno in modo nativo, su sistemi unix/like (linux o mac che siano).
In quanto alla questione 'cestinare windows', mi pare sia un'operazione che, lentamente ma inesorabilmente, è comunque da tempo cominciata.

Saluti.

Lukebdb ha detto...

avast lo riconosce come Discreen e lo qualifica come joke, ma smanettando con google si vede che corrisponde al buon vecchio boomka, quindi se si installa occorre armarsi di santa pazienza e far fuori le varie dll che si ficcano nel registro di sistema.. un consiglio: usate firefox per navigare visto che a me si attiva e si replica solo aprendo explorer.

luposelvatico ha detto...

Infettato come un pollo:-(((
però l'aggiornamento antivirus Viruscan del 27/1 l'ha riconosciuto e messo in quarantena...

cb ha detto...

sono un pollo pure io, erano almeno 2 settimane che avevo lasciato dormire la mail ma oggi me ne sono ricordato e l'ho aperta...
norton non ha rilevato un bel niente...

Anonimo ha detto...

Ricevo il 04 febbraio 2006 la seguente mail.

Oggetto: relax 2 secondi
Mittente apparente: Francesca.Nestola@libero.it (da me sconosciuta)

Corpo della mail vuoto.

Headers:
_________________
Return-Path: <Barbara.Bolognesi@libero.it>
Received: from vsmtp22.tin.it (192.168.70.61) by ims2f.cp.tin.it (7.2.060.1)
id 43B7D6F900FA287B for ***@tin.it; Sat, 4 Feb 2006 14:40:10 +0100
Received: from ms008msg.fastweb.it (213.140.2.57) by vsmtp22.tin.it (7.2.060.1)
id 43CE5CCE021135CD for ***@tin.it; Sat, 4 Feb 2006 14:40:10 +0100
Received: from 213-140-16-191.fastres.net (23.252.254.167) by ms008msg.fastweb.it (7.2.070)
id 43DF6E30001DD7B2 for ***@tin.it; Sat, 4 Feb 2006 14:39:45 +0100
Date: Sat, 04 Feb 2006 14:39:28 -0100
From: From: Francesca.Nestola@libero.it
X-Mailer: The Bat! (v3.45.84) Professional
Reply-To: <Francesca.Nestola@libero.it>
Organization: consent Inc
X-Priority: 4 (Low)
Message-ID: <6196644116.48553799750773@Catherwood>
To: ***@tin.it
Subject: relax 2 secondi
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------wdalpgj7ajlbzso"

------------wdalpgj7ajlbzso
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
_____________

Allegato: new_game.zip (191K)

L'allegato è zippato senza password, e contiene due files:

* readme.txt che aperto col Blocco Note si rivela essere un vero file di testo contenente le istruzioni del presunto gioco delle freccette.

* game.exe che l'antivirus e l'anti-spyware integrati in "Zone Alarm Security Suite" aggiornati al 6 febbraio 2006 ore 14:44 NON riconosce come infetto!!!

Per fortuna ho letto "L'Acchiappavirus" e sono iscritto alla mailing list di Paolo, quindi ero praticamente sicuro che si trattasse di un virus, e l'ho sottoposto all'esame di http://www.kaspersky.com/scanforvirus
Risultato:
Scanned file: game.exe.virus!!
game.exe.virus!!/stream/Script - OK
game.exe.virus!!/stream/data0001 - OK
game.exe.virus!!/stream/data0001 - OK
game.exe.virus!!/stream/data0002 - infected by Trojan-Downloader.Win32.Bomka.f
game.exe.virus!!/stream/data0003 - OK
game.exe.virus!!/stream/data0004 - OK

(L'estensione ".virus!!" ce l'ho messa io per evitare di lanciarlo per sbaglio con un doppioclick spurio)

Ora, mi domando io... è dal 26 di gennaio che Paolo ha segnalato questo virus e ZoneLabs non lo ha ancora inserito nella lista delle infezioni rilevabili dal SUO PRODOTTO *A*PAGAMENTO* DI PUNTA ???

Ma cosa li paghiamo a fare ???


Ora mi scarico la versione gratuita di "AntiVir" e vediamo se lo rileva...

Ciao
Fry Simpson

Anonimo ha detto...

ok ok , ammettiamo per un momento che abbiate un fratellino piccolo piccolo e un po'...... ehm ehm ... distratto e che questo fratellino abbia aperto l'exe ......e che abbia quindi infettato il sistema ........ e che abbia ricevuto delle mail da persone in rubrica che lo avvertivano di aver ricevuto da lui delle mail infette....... ebbene : cosa consigliereste al fratellino ??? che deve fare ????? format c:? ( tenete presente che il fratellino le dll manco sa che cosa siano... a proposito ...... che sono le dll :-) ???????
Grazie tante a chi mi risponderà.
Il frat.... ehm Max

Paolo Attivissimo ha detto...

Usa un buon antivirus, ed educa il tuo fratellino a non cliccare su tutto quello che gli capita a tiro.

Anonimo ha detto...

Aggiornamento: Ieri sono riuscito a scaricare "AntiVir", ma non ad aggiornarlo (probabilmente per errata impostazione del firewall). Così come era (installato senza aggiornamenti) nemmeno AntiVir riconosceva l'infezione.

Ieri ho smanettato parecchio ma non sono riuscito ad aggiornarlo, così ho rinunciato.

Stamattina -miracoli dell'informatica- appena mi collego all'Internet, il programma di aggiornamento automatico di AntiVir parte da solo come al solito... con la differenza che stavolta si aggiorna.

Intanto che si sta aggiornando, però, parte anche l'aggiornamento automatico antivirus + antispyware di "ZoneAlarm Security Suite". Lo lascio fare, e va a buon fine prima che l'aggiornamento di AntiVir sia finito.

Va a buon fine anche l'aggiornamento di AntiVir.

Apro la cartella col file infetto, porto il puntatore sul file (senza nemmeno un singolo clic) e... TA-DAA! Sia il "Guard" di AntiVir che quello di ZoneAlarm riconoscono il virus! :-)

(Naturalmente il sistema si impianta... Ancora una volta Paolo ha ragione: due antivirus contemporaneamente si comportano come due galli in un pollaio.)

Peccato che non sono riuscito ad aggiornare AntiVir ieri... Così non posso sapere se già ieri l'avrebbe riconosciuto.

Per esperienza risalente a quando usavo quotidianamente AntiVir e lo tenevo aggiornato posso dire che le nuove minacce venivano aggiunte alle definizioni dopo pochi giorni e non dopo più di una settimana come ha fatto ZoneAlarm.

E la versione di ZA con antivirus si paga, mentre AntiVir è gratuito per uso personale

Ciao

Fry Simpson

Anonimo ha detto...

P.S. Comunque un crash di sistema che si risolve con un reset hardware (ed eventuale perdita dei dati non salvati... è vero) è sempre meglio di una infezione che -potenzialmente- potrebbe essere ben più dannosa (ad esempio cancellare tutti i documenti .pdf .doc etc come nel caso di Kama Sutra), no?

Fry Simpson

Anonimo ha detto...

Per Max (e il suo fratellino ;-)

Tranquillo, sai quante volte anche il mio "fratellino" ha fatto click a vanvera...

Adesso che, una volta aggiornato, AntiVir Personal Edition Classic (gratuito per uso personale) riconosce il virus puoi scaricarlo (http://www.free-av.com/), aggiornarlo e lanciare uno scan su tutto il sistema (configuralo per esaminare tutti i files e tutti gli archivi).

Per esperienza personale, però, l'intervento dell'antivirus a posteriori rimuove sì il virus

(sempre che quest'ultimo non sia abbastanza furbo da annidare copie di sé stesso nel registro o altrove... a questo proposito: AntiVir nella versione vecchia funzionava con Windows avviato in "Modalità Provvisoria". Prova ad avviare in modalità provvisoria e vedere se anche la versione corrente funziona. Se funziona è meglio eseguirlo in modalità provvisoria, dico bene, Paolo?)

ma generalmente lo fa cancellando brutalmente i files infetti che tipicamente sono files di sistema, per cui in ultima analisi la formattazione è necessaria...

...per quelli che non hanno fatto il backup!

Se hai il backup della partizione... avvii il sistema dal CD di backup e sovrascrivi automaticamente la partizione danneggiata con una copia byte per byte di come era al momento in cui avevi fatto il backup. Fine.

Niente installa, configura, installa... per decine di programmi, service packs, patches etc...

Prendi l'occasione: una volta formattato, reinstallato, configurato, patchato, installa Drive Image o similari e fai il backup della partizione.

La prossima volta chei il fratellino entra in azione dovrai solo inserire il CD (o DVD), riavviare e leggerti un buon libro per una mezzoretta! :-)

Ciao
Fry Simpson

free spyware removal ha detto...
Questo commento è stato eliminato da un amministratore del blog.
deji ha detto...
Questo commento è stato eliminato da un amministratore del blog.
Anonimo ha detto...
Questo commento è stato eliminato da un amministratore del blog.