Cerca nel blog

2006/04/03

Nuovo videomail virale: ci prendono tutti in giro. Anche i virus

Questo articolo vi arriva grazie alle gentili donazioni di "felzad" e "carlo@mac*.org".
L'articolo è stato aggiornato rispetto alla sua versione iniziale.

Una nuova ondata di e-mail virali sta arrivando da un paio di giorni nelle caselle di posta. Il meccanismo non è nuovo ma comunque astuto e interessante dal punto di vista psicologico: l'e-mail sembra provenire da un conoscente e ha un titolo che incuriosisce e induce ad aprire l'allegato, che è una trappola.

Per esempio, uno dei titoli è "come ci prendono tutti in giro?", accompagnato dal testo "avevate mai visto una cosa del genere? perchè non le fanno vedere alla televisione queste cose? consiglio di farlo girare !!".

Un altro messaggio contiene la frase "guardate un pò qui, certe cose in TV non te le fanno vedere... non ho potuto fare a meno di inviarlo a tutto il mio indirizzario".

Un terzo esempio ha come testo "è incredibile che certe cose si vedano solo sui blog. Diffondete.". Altri messaggi parlano di un "incidente pazzesco mai trasmesso in tv".

Cliccando sull'allegato, il video non parte, apparentemente perché è "impossibile trovare il codec" (come mostrato nell'immagine qui sopra). In realtà l'allegato fa credere a Windows di essere un file video (usando il Content-Type: video/x-ms-asf), ma è un pezzo di codice HTML che porta al sito Vcodecget.net. In altri casi porta a Vcodecpull.com.

Nei siti c'è un file eseguibile (per Windows), che l'analisi online di Kaspersky non identifica come pericoloso al momento in cui scrivo. Direi che è comunque evidente l'intento ostile di questi messaggi, per cui il file non va aperto e anzi va cancellato subito.

Ho già segnalato i siti ostili a Netcraft e quindi la barra anti-phishing di Netcraft dovrebbe riconoscerlo tra breve. Usatela (è gratis) e ricordate di non aprire gli allegati inattesi, neanche se ve li mandano (apparentemente) gli amici!


Aggiornamento (2006/04/03 11:30)


Netcraft ha stranamente rifiutato entrambe le mie segnalazioni dicendo "The URL you recently submitted could not be accepted as a phishing site by the Netcraft Anti-Phishing Team, for the following reason: Sorry, we cannot verify that this is a fraudulent site, nor can we verify that the executable is malicious." Non riescono a verificare che sia un sito fraudolento e che l'eseguibile sia ostile. E' invece evidente che si tratta di software ostile, per le ragioni che ho spiegato loro dettagliatamente. Che ne dite se glielo diciamo in coro tutti insieme usando la funzione Report della loro barra?


Aggiornamento (2006/04/03 13:45)


Ricevo ripetute segnalazioni del fatto che l'e-mail sembra provenire da un conoscente della vittima. Il legame di indirizzo fra mittente (apparente) e vittima suggerisce che questo non sia un semplice dialer, ma abbia anche un componente virale (infetta e poi si propaga).


Aggiornamento (2006/04/04 13:30)


Ora ai siti-trappola si è aggiunto anche www.vcodec-get.com (col trattino). L'ho segnalato al volo a Netcraft, chissà se stavolta capiscono.
Rodri nota che i tre siti sono intestati a persone di Firenze:
Registrant di Vcodecget.com:
Antonella Pizzicoli
antpizzicoli@yahoo.com
Via Bonifacio Lupi 7
Florence, Florence Florence IT
+3.9055231881

Registrant di vcodecpull.com:
gustavo Doieni
via caduti di cefalonia 18
firenze firenze 40155
IT
simonrolf1@yahoo.com
+39.055274625

Administrative Contact di Vcodec-get.com:
Pizzicoli, Antonella  antpizzicoli@yahoo.com
Via Bonifacio Lupi 7
Florence, Florence 50129
Italy
+39-055-231-881
Sospetto che i dati siano fasulli (il primo numero risulta inesistente, il secondo squilla a vuoto), ma sarebbe interessante scoprire se esistono vie con questi nomi a Firenze. E se i dati sono fasulli, con quale criterio sono stati inventati dal truffatore? Perché proprio Firenze, per esempio?

Nessun commento: