Cerca nel blog

2006/01/26

Sicurezza: attenzione ai falsi file Office allegati ai messaggi

Questo articolo vi arriva grazie alle gentili donazioni di "reemulit", "pgolfari" e "bungalowbill".
L'articolo è stato modificato rispetto alla sua stesura iniziale. Alcuni commenti, scritti prima della modifica, potrebbero quindi sembrare incoerenti a causa di questi cambiamenti.

Ho ricevuto oggi numerose segnalazioni di un nuovo attacco informatico basato su un e-mail in italiano che promette informazioni personali incluse in un documento Office cifrato. Il messaggio sembra provenire da una persona nota al destinatario. Si tratta invece di un virus (più propriamente di un trojan horse) e il mittente è falsificato.

Ecco un esempio di testo del messaggio:

ciao ,

ho trovato , per una coincidenza, un file che
contiene alcune informazioni su di te.
ho preferito proteggerlo con una password,
non vorrei che andasse in giro e lo aprisse qualcuno.

la password per aprire il file zippato è "privato12",

quando hai unzippato troverai un file Office cryptato.

aprilo con un doppio click.

fammi sapere subito,
scusami ma sono un po' in ansia...

Allegato al messaggio c'è un file ZIP di nome "doc_riservato.zip" o "documentazione.zip" o simili, che l'antivirus non può esaminare perché è uno ZIP protetto da password.

Scompattando il file ZIP con la password fornita nel messaggio (non fatelo), si ottiene un file eseguibile (non un documento Microsoft Office) di nome "doc_22_01_06_enrcypted_archive.exe". Su un PC Windows, questo file ha l'icona di Word pur essendo un eseguibile, come potete vedere nell'immagine all'inizio di questo articolo. Molto, molto ingannevole, vero?

Aggiornamento. Inizialmente avevo messo nell'immagine anche un'icona di un vero documento Word, ma come notato nei commenti dei lettori (che ringrazio), questo poteva essere fuorviante, perché l'icona vera era quella delle vecchie versioni di Word. Sembrava insomma che ci fosse una differenza visibile fra icona falsa e icona vera, ma non è così.

Secondo le segnalazioni dei lettori (grazie ladysil), il file è un trojan horse, ossia un "cavallo di Troia", che si spaccia per un file innocuo ma inietta di nascosto in Windows del codice ostile. Secondo McAfee, si tratta di Adclicker-DW, usato per far comparire pubblicità indesiderata nel computer della vittima tramite Internet Explorer.

Per evitare l'infezione è sufficiente non aprire il file. E' consigliabile cancellarlo e vuotare il Cestino. Il virus ha effetto solo su Windows; gli utenti Mac e Linux non sono colpiti.

L'attacco è piuttosto insolito e interessante per la sua sofisticazione, visto che per conquistarsi la fiducia della vittima e abbassarne le difese è scritto in buon italiano, usa frasi "unisex" (valide per destinatari di entrambi i sessi) e inoltre usa un mittente noto alla vittima, insieme all'espediente psicologico della preoccupazione per i dati riservati che sarebbero stati trovati in giro.

Il messaggio può essere identificato abbastanza facilmente perché il campo "A:" del destinatario non contiene l'indirizzo del destinatario, ma la sequenza di caratteri "<.>".

28 commenti:

Anonimo ha detto...

Il confronto fra le icone è fuorviante:
l'icona del file infetto è di Office2003, quella dell'altro di Office 2000.
Quindi ci sono anche doc legittimi con l'icona a sinistra!

Fab ha detto...

Non ho ancora ricevuto un attachment del genere, quindi tiro a indovinare: forse è il nuovo Bagle annunciato da alcuni vendor ieri notte / stamattina?

P®ivideo ha detto...

Confermo quanto detto prima. Se chi riceve una e-mail del genere e ha nel suo computer installato qualsiasi versione di Office 2003 può confondersi. Io stesso leggendo superficialmente pensavo che l'icona vecchia di word ante-2000 (quella "flat" diciamo) fosse quella utilizzata da chi ha diffuso queste e-mail. Invece era proprio il contrario! Saluti

michele ha detto...

Cn lo stesso meccanismo ho appena ricevuto uno zip che diceva di contenere un gioco flash. Siccome non sono un esperto di antivirus non l'ho estratto, quindi non so dire nulla dell'icona, però conteneva un eseguibile!

Atmatica ha detto...

Dovrebbe essere semplicemente un hoax, uno scherzo per far prendere paura chi ha problemi con la finanza o robe simili, il file contiene un power point che descrive un articolo della finanza che teoricamente dovrebbe riguardare la persona interessata. E poi conclude con "ti sei preso paura eh?" o robe simili
direi nessun virus all'interno
ciao
Fiore

Atmatica ha detto...
Questo commento è stato eliminato da un amministratore del blog.
Ugo ha detto...

È arrivato anche a me uno pseudo giochino flash da un account conosciuto, in una email in perfetto italiano, molto verosimile, tanto che per la prima volta in tutta la mia vita internettiana ci sarei potuto cascare (a dire la verità mi ha salvato il fatto che usando un Mac non avrei potuto comunque usare il file che era un exe). Successivamente l'autore della email, quello vero, mi ha mandato un'altra email per dirmi che non era lui l'autore di quella precedente.

Ho passato il file, che si chiama freccette.exe, al Kaspersky online ma non ha riconosciuto alcun virus... potrebbe anche essere solo una burla, ma onestamente non mi va di rischiare il computer del lavoro, che è un Windows, per fare la prova.

Anonimo ha detto...

Ho inviato il "virus" ai laboratori mcafee mi hanno rilevato il trojan: "adclicker-dw"
Ciao
Ladysil

silvertree ha detto...

Ciao Attivissimo,
ti apprezzo molto x il tuo tentativo di 'pulire' un po' la rete: io, nel mio piccolo, cerco sempre di ricordare ai miei amici, prima di inoltrarmi qualsiasi e-mail, di consultare il tuo sito.

Anonimo ha detto...

Comunque a me con GMail non m'è mai capitato di ricevere mail del genere a differenza di libero che tra virus e spam è una calamita, insomma a mio parere usando un account di posta GMail si eliminano molti di questi inconvenienti.

Anonimo ha detto...

Si potrebbe usare l'ottimo programmino Free "Sandboxie" per eseguire il file sospetto/infetto nel computer virtuale creato da Sandboxie stesso, vedere esattamente che fa l'eseguibile, eventualmente sottoporre a scansione con 1 o più antivirus la cartella virtuale di cui sopra.
Magari quando ho un po' di tempo ci provo, ovviamente dopo essermi fatto una bella immagine di "C" con Acronis ;-))

Federico

Anonimo ha detto...

mi è arrivato stamattina e non vi nascondo ke la componente psicologica mi ha bekkato un po ma alla fine go capito ke non poteva ke essere un virus

Ruggero ha detto...

Per un precedente messaggio:
che io sappia anche GMail non è esente da spam.

Per Paolo:
Potresti suggerire, in coda all'articolo sul blog, che il modo migliore per evitare di rimanere fregati dall'apparente serietà della mail è semplicemente quello di rispondere al mittente chiedendo una conferma. Ovviamente se è un virus il mittente risponderà che non ti ha mandato alcun file, e si scoprirà la gabella. Basta poco, che ce vo'

Umberto ha detto...

Mi preoccupa il fatto che sia scritto in buon italiano...quindi è stato prodotto in Italia! Che tristezza...c'è proprio gente che pensa di gaudagnarsi da vivere rovinando il lavoro sui Pc degli altri...

davi ha detto...

E chi ha anche chiamato il mittente che ne ha confermato l'autenticità e l'ha scompattato che puo' fare?

Ruggero ha detto...

Per Davi:
la soluzione che ho proposto non è farina del mio sacco, più volte in passato Paolo l'ha suggerita, però visto che molti si domandano come capire, con metodi complicati per i digiuni, se il file è autentico o no, ho pensato di riproporre questa semplice soluzione.
Non capisco cosa intendi tu: se scrivi al mittente che ti conferma che ti ha inviato un file personale allora non può essere un virus automatico (a meno di aver controllato di aver scritto all'indirizzo giusto oppure che il mittente non voglia volontariamente attaccarti il computer, ma sarebbe facilmente scoperto una volta che si apre il file).
E' ovvio che questo non vale se uno ti manda un giochetto che poi ha dentro un virus che il mittente invece ignora, ma la particolarità di questa lettera era che non parla di un generico file, ma di un file importante con dati confidenziali; quindi non puoi mandarlo senza sapere se è un virus. O il file confidenziale ce l'hai o no.

Anonimo ha detto...

io invece l'ho aperto come un pollastro ed ora ogni tanto l'antivirus mi segnala questo trojan. Cosa mi conviene fare per favore?

Anonimo ha detto...

già come si risolve la cosa se uno l'ha già aperto?

Anonimo ha detto...

Scaricate:
http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5

e con poi KillBox cercate il nome!

Questo lo toglie!

Anonimo ha detto...

QUESTO L'HO RICEVUTO OGGI 17/02/2006 COMUNQUE NN L'AVREI APERTO MA GRAZIE A VOI HO AVUTO NOTIZIE E QUESTO POST E UN OBBLIGO GRAZIE ANCORA.
MITTENTE:
Elena.Toni@falegnameriacereghini.com
CONTENUTO MESSAGGIO:
ciao,mi hanno trasmesso questo documento che contiene alcune informazioni. indiscrezioni su di te.ho preferito proteggerlo con password visto quel che c'è Scritto.la password per aprire lo zip è "08privato08",
quando hai unzippato. decompresso troverai un altro file word cryptato. aprilo con un doppio click.
non chiedermi chi me l'ha dato, sono già abbastanza in ansia.....

Anonimo ha detto...

Ciao,
ho ricevuto anch'io oggi questo virus.
Il mittente è:Chiara.Sozzi@catimpianti.com
e il contenuto è uguale al messaggio precedente.
Saluti a tutti

Ester ha detto...

Grazie mille..... per fortuna mi è venuto in mente di chiedervi se potevo aprire o no visto che sono un imbranata con il pc.....

Anonimo ha detto...

> Ciao,
> ho ricevuto anch'io oggi questo > > virus.
> Il mittente è: ...

Per l'anonimo di prima: potevi evitare di mettere l'indirizzo completo di chi te l'ha mandato, un minimo di buonsenso ...

Comunque anche una mia collega l'ha ricevuto e né McAfee né AVG (AGGIORNATI AL 17 FEBBRAIO) l'hanno rilevato come virus, mi sembra grave !

giovanna ha detto...

NON HO CAPITO COSA DEVO FARE PER LIBERARMI DEL VIRUS.
HO SCARICATO AD-AWARE SE, ED ORA? CHE COS'E' KILL-BOX?
GRAZIE GIOVANNA

Anonimo ha detto...

Il mio antivirus NOD 32 l'ha riconosciuto e l'ha messo in quarantena. L'ha definito "Win32/TrojanDownloader. Non chiedetemi di più perchè sono veramente ignorante in materia...

mam ha detto...

Per Clam AV il virus è noto dal 17 e si chiama Trojan.Clicker.Small-100-zippwd
Indatti ho sottoposto l'allegato al sito web di Clam Antivirus che mi ha risposto:
"This virus is already recognized by ClamAV 0.88/1292/Fri Feb 17 10:39:02 2006 (timezone: +0100 ) as Trojan.Clicker.Small-100-zippwd"
Ho segnalato lo stesso file con varie traversie a Norton; ho ricevuto una risposta automatica che dice che approfondiranno...

Anonimo ha detto...

Io ho ricevuto l'email esattamente come descritta ed ho fatto delle prove. Se volete, seguite la discussione:
http://www.wintricks.it/forum/showthread.php?s=5946a990e31bc7c0df7f3ae42e31fd23&threadid=102646&perpage=10&pagenumber=1

Bigio ha detto...

Anch'io ci sono cascato come un pollo, il testo è ben fatto e la mia amica, che me l'ha inviato involontariamente, è veramente sempre ansiosa in fatto di computer. Alla fine c'era persino la sua firma. Era di notte e non l'ho contattata e quindi mi ha fregato. Devo dire che AVast non l'aveva individuato, e l'ho trovato con scansioni online di Trend e Norton.