Cerca nel blog

2006/05/09

Attenti al “video violento” via e-mail: ritorna la trappola del codec fasullo

Questo articolo vi arriva grazie alle gentili donazioni di "maria" e "carmelo".

Nuova versione di una vecchia trappola: "Mi hanno appena mandato questo video, lo passo a tutti quelli della mia rubrica perchè certe cose sono da vedere", dice il messaggio. Allegato al messaggio c'è un file di nome censu_red_video.asx.

Chi incautamente apre il file, sulla scia dell'emozione e della curiosità che fanno mettere da parte le regole della prudenza informatica, scopre che il video non parte, ma viene visualizzato il messaggio "Impossibile Trovare il Codec", con l'invito a seguire un link per scaricare il codec mancante. La cosa comincia a suonarvi familiare?

Il link non porta a un codec, ma a un file ostile, come si può notare aprendo l'allegato con un editor di testi come il Blocco Note di Windows:

<ASX version="3.0">
<ENTRY>
<TITLE>Impossibile Trovare il Codec</TITLE>
<REF HREF="http://www.vcodecobtain.com/movies/video.avi"/>
<DURATION VALUE="60:00"/>
<BANNER HREF="http://www.vcodecobtain.com/movies/codec-alert.gif">
<ABSTRACT>Clicca qui per scaricare i codec aggiornati</ABSTRACT>
<MOREINFO HREF="http://www.vcodecobtain.com/download/VCodec1_01b.exe" />
</BANNER>
</ENTRY>
</ASX>

Un lettore, fc, mi segnala che ne esiste anche una versione che si intitola "Fw: devastazione uragano ivan, agghiacciante !!" e contiene il testo "Vi inoltro questo video... mai visto niente del genere nemmeno in tv :(", con un allegato che si spaccia per file video ma in realtà usa lo stesso meccanismo descritto qui sopra per portare a un file-trappola.

Luca.Berra****, invece, segnala una variante dal titolo "RE: Caccia ai cuccioli di foca, vergogna!", il cui testo è "a volte la tv non fa vedere certe cose... consiglio la visione del video allegato ad un pubblico "adulto" - buon lavoro a tutti": l'allegato è filmato_amato_riale_01.asx.

Il file-trappola (che non è l'allegato, ma il file EXE presente nel sito-trappola indicato dall'allegato) è stato identificato dopo qualche ora da Kaspersky come un trojan downloader: una roba assai tossica, insomma.

Fc mi segnala che una delle versioni dell'e-mail trappola che ha ricevuto "non funziona in quanto contiene un errore nel link. Se ci clicchi sopra, si apre il Media Player e ti dà un errore, ma non ci sono altri effetti". In ogni caso, è meglio starne alla larga. Ne parlo qui non tanto perché si tratta di una novità particolare, ma perché così chi ha il buon senso di cercare informazioni sul messaggio in Google troverà quest'articolo di avviso.

La regola è sempre la solita: non lasciatevi influenzare dal mittente apparente, dall'emozione o dalla tentazione nello scegliere quali allegati aprire. E' proprio su questo che contano i truffatori e i vandali della Rete.


Aggiornamenti


2006/05/09 19:00. Avevo segnalato a Netcraft l'URL a rischio, ma Netcraft ha rifiutato di aggiungerlo ai suoi siti bloccati perché non sono in grado di verificarne la pericolosità ("We cannot verify that this is a malicious executable"). Che testoni.

2006/05/09 21:30. Adesso Kaspersky riconosce il file ostile come Trojan-Downloader.Win32.Adload.ax. Ho aggiornato l'articolo per tenerne conto. Riprovo a inviare la segnalazione a Netcraft, con due parole di cordiale rimprovero.

2006/05/09 21:50. Arriva la risposta di Netcraft: "The URL you recently submitted could not be accepted as a phishing site by the Netcraft Anti-Phishing Team, for the following reason: We cannot verify that this is a malicious executable". Ci rinuncio.

2006/05/10 8:00. Dopo un mio nuovo e-mail di protesta, arriva una nuova risposta di Netcraft: dicono che bloccano il malware soltanto se Clamav o Bitdefender lo identifica come sospetto, e che pertanto dovrei segnalare il malware a questi due antivirus open source. Va bene: almeno adesso sappiamo come regolarci.

40 commenti:

Anonimo ha detto...

Anche questo sito è curiosamente intestato ad una persona italiana.

Marco Frizzi
marcofrizzi1@yahoo.com
via Arno 11
Bologna, Bologna 40100 IT
+3.9051365526


Proverai a segnalarlo a Netcraft? Tanto per vedere se continueranno ad ignorare la cosa... ;-)

Anonimo ha detto...

Inutile dire che questa sia l'ennesima prova dell'inaffidabilità di NetCraft. Paolo invece di mandarlo a quegli incompetenti, avresti fatto meglio a mandarlo a Kaspersky (questi sì invece molto solerti nell'analizzare ed includere nel DB il malware).

Anonimo ha detto...

Mi piacerebbe vedere quelli di Netcraft entrare in una squadra di artificieri :-P Finché non fa tic toc non è una bomba?

Anonimo ha detto...

Mi correggo. Kaspersky e NOD32 lo rilevano già.

Anonimo ha detto...

Paolo, hai idea di cosa vogliano quelli di Netcraft per classificarlo come un eseguibile pericoloso e bloccare l'URL? Gli basta un report di 3 antivirus (visto che NOD32, Kaspersky e F-Secure lo rilevano come trojan installer), o vogliono un'analisi di qualche tipo?
Mi dispiace che diano prova di questa rigidità, perché il loro sito è uno dei più utili che conosco e sarebbe bello che rimanesse tale.

Anonimo ha detto...

E' arrivato anche a me, ma mi sono fermato giusto in tempo, anche se il tutto è leggermente mutato.

Per la cronaca il titolo della mail è: Fw: incidente ai 280 oprari...

e il testo:
video shock mai trasmesso in TV, fatelo girare

ciao a tut ti

con allegato ve_rgogna.asx

Anonimo ha detto...

E' arrivato anche a me, ma mi sono fermato giusto in tempo.

Il tutto è leggermente mutato:
titolo della mail: Fw: incidente ai 280 oprari...

e il testo:
video shock mai trasmesso in TV, fatelo girare

ciao a tut ti

con allegato ve_rgogna.asx

Anonimo ha detto...

Altro titolo della mail:

Fw: video caccia alle balene, drammatico

Anonimo ha detto...

che pertanto dovrei segnalare il malware a questi due antivirus open source

Bitdefender opensource????????????
da quando? gratuito per uso pesonale
mi parebbe la versione free

Anonimo ha detto...

ClamAV adesso lo rileva (anche perché ho mandato io il sample). Potete verificare su http://www.virustotal.com; Paolo, vedi un po' cosa dicono quelli di Netcraft adesso. >:(

Paolo Attivissimo ha detto...

Bitdefender opensource?

Cosi' hanno scritto quelli di Netcraft, ma hai ragione, anche a me non risulta open source.

Anonimo ha detto...

"2006/05/10 8:00. Dopo un mio nuovo e-mail di protesta, "
Ma e-mail non è femminile?

Anonimo ha detto...

A me è arrivato con questo testo:
Subject: FW: pestaggio di un ragazzo di colore

Ecco come si comporta il paese "Libero" con un povero ragazzo che cerca del cibo per la sua sorellina!

Aprit e gli occhi!

video USA shock...fatelo girare, ciao

La cosa divertente è che mi è arrivato due volte (questa e quella precedente) sempre dallo stesso mittente apparente (uno che non manderebbe mai una cosa così, anche fosse vera).
Ma la cosa che mi sconcerta è che c'è la firma completa del "mio" mittente all'interno del messaggio mail.

Tecnici: come è possibile?
Enrica

Anonimo ha detto...

Passo a salutare questo sig. Marco Frizzi nel pomeriggio, visto che abita in zona...
Mic

Anonimo ha detto...

Ovviamente il numero di telefono è inestistente..
E forse anche la persona...
Ma si può registrare un sito con dati falsi?
Mic, da bologna

Anonimo ha detto...

E' arrivato anche a me e diceva qualcosa del tipo: "Ecco perchè ogni italiano, anche lattante, ha sulle spalle 300.000,00 euro di debito pubblico".
Non sapevo fosse pericoloso e così ho provato ad aprirlo con MsPlayer, Real Player, Quik Time, ZPlayer, PowerDVD... ma nessuno di questi mi ha rimandato ad un link per un nuovo codec e così, fortunatamente, l'ho buttato via.
Ciao a Tutti e grazie a Paolo.

danjar ha detto...

Ho individuato con (quasi) certezza un PC origine di un'ondata di queste e-mail. Premesso che il PC in questione non ha le chiavi di registro create da questo trojan (come indicate da sophos), suppongo sia stato zombificato da qualcos'altro. Come faccio a sapere da cosa, come individuarlo, come toglierlo? Grazie a chi fosse in grado di rispondermi, soprattutto se fossero indicazioni precise circa questa "famiglia di infezioni" e non le normali e generiche raccomandazioni e "how to" (comunque graditi).

Anonimo ha detto...

Paolo, finalmente clamav lo indentifica
come Trojan.Downloader.Adload-20
sarà il caso di avvisare quei pignoloni di netcraft? :-)

Anonimo ha detto...

Ho appena segnalato a netcraft l'url
mettendo anche il link di virustotal dove si vede che viene riconosciuto da clamav. Mi hanno risposto:

The URL will be reviewed as soon as possible and it will be blocked if our
staff confirm it to be a phishing site.

ovvio le solite risposte dei risponditori automatici.

L'inganno c'è ma non riguarda una banca o istituto finanziario quindi chissà se realmente lo considereranno phishing.

Anonimo ha detto...

Io ho preso il malware.
Causa arresto immprovviso della macchina.
Adesso cerco un remover.

Anonimo ha detto...

@Danjar: se il computer di cui parli è sotto controllo da un malware non riconosciuto dagli antivirus, la risposta non è semplice. E'possibile che questo trojan a un certo punto scarichi e installi un parte worm che fa da "motore di replicazione" per spedire fuori le mail. Stando a quello che dice Enrica (c'è la signature dell'utente nella mail), potrebbe essere qualcosa che si aggancia al client di posta.
Come prima cosa, hai modo di usare Process Explorer per vedere se c'è qualche processo strano che va ad accedere alle mailbox?
Ti posso chiedere cosa ti fa pensare che quella macchina sia infetta?

Anonimo ha detto...

perchè la macchina chianta in continuazione da quando ho cliccata il file sospetto.
Non mi ha fermato nessuno, ne Netcraft ne il real time del Trend Micro.
Cercasi Remover.

danjar ha detto...

Grazie Fab per l'intervento.
Si aggancia senz'altro al client dell'utente (sospetto di Outlook Express, in disuso su quella macchina ma mai disinstallato).
Con Task Manager non ho trovato processi sospetti; posso installare Process Explorer, grazie per la buona idea (farò sapere se ne cavo qualcosa).

Credo che la macchina sia infetta perché l'IP originario, indicato nell'header dell'email, corrisponde (passa attraverso un server su cui purtroppo si appoggiano però 10 PC); perché il mittente corrisponde all'utente di quella macchina; perché il provider di posta conferma che l'e-mail proveniva da quel server; perché l'invio dell'e-mail corrisponde ai tempi di accensione e accesso alla macchina (ed è già il secondo episodio in un mese, secondo lo stesso percorso di attacco).

Spero di essere stato chiaro, sono un po' smanettone ma non esperto dell'argomento.

Anonimo ha detto...

Beh, Paolo, non c'è che dire, anche tu a volte cadi in errori madornali: ho installato sotto "tuo consiglio" la barra anti-phishing di NETCRAFT solo per vedermi maledettamente rallentato FIREFOX e sentirmi poi dire da TE che Netcraft NON ACCETTA le segnalazioni di siti-trappola... :(

Paolo Attivissimo ha detto...

Non è un errore: Netcraft è semplicemente diventata più selettiva e ora accetta soltanto segnalazioni di phishing (si chiama "anti-phishing toolbar", appunto); accetta anche, talvolta, le segnalazioni di siti che ospitano malware. Cosi' risulta dalle loro risposte alle mie segnalazioni. Prima erano grati anche per le segnalazioni di malware.

Sul fatto che la barra di netcraft rallenti Firefox, mi sorprende molto: io ce l'ho da tempo e non ho notato rallentamenti significativi. Magari hai una connessione lenta? Problemi di DNS, visto che la barra interroga il database Netcraft per decidere lo status di un sito?

Anonimo ha detto...

Scusate, è un post molto lungo.
Ciao Danjar e tutti: ho dato un'occhiata alle mail che mi sono arrivate in questi 2 giorni e ho trovato una mail pulita proveniente da un certo dominio e una contenente questo trojan, stesso indirizzo del sender. Purtroppo non vengono dallo stesso pc, ma dagli header pare che la rete sia la stessa (uguale il percorso tramite il provider, stesso spazio di indirizzi ecc.).
Quella buona ha un campo X-Mailer che indica "Outlook Express", quella infetta, no.
C'è una costante nelle mail infette che ho ricevuto, il campo "Content-type" = multipart/mixed; boundary="----=_NextPart_5649204857298"
Alla fine del messaggio, io non vedo una vera signature, ma il nome utente ricavato dall'indirizzo di mail del sender.
Un'ipotesi: se è un worm che invia la mail, potrebbe contenere lui stesso un motore SMTP che spedisce i messaggi (preconfezionati, a scelta tra alcuni modelli) senza bisogno di ricorrere al client di posta esistente. Credo che possa essere così, perché un client "normale" dovrebbe inserire sempre dei boundary diversi.
In questo caso l'eseguibile dovrebbe come minimo 1) leggere la rubrica o altri file per ricavarne degli indirizzi 2) collegarsi alla rete per spedire le mail.
Entrambe le attività sono tracciabili (processi attivi in memoria, un eseguibile che cerca di connettersi ecc.): non è molto, ma almeno è qualcosa da cui partire per un'analisi del sistema infetto.

Anonimo ha detto...

Qualcuno conosce le chiavi di registro che crea il virus ?
Grazie

A me è arrivato con il video ve_rgogna.asx

Ho controllato il registro di Internet Security (symantec) ed ho rinvenuto questa segnalazione visto che all'ora di apertura della email e del file allegato è stata registra la seguente voce:
- cartella del registro:
Sistema;
- messaggio:
[Dettagli: Impostazione firewall "Consenti blocco porte NETBIOS" modificata. Vecchio valore 1. Nuovo valore 0.]
Speriamo possa servire.

Anonimo ha detto...

Ok, forse ho risolto.
Il virus si annida nel file c:\windows\system32\pio12.dll
(lo ha rilevato norton internet security)
2) fare boot con un cd di avvio (meglio burt-pe);
3) eliminare manualmente il file;

4) lanciare regedit.exe (se necessario riavviare il pc normalmente)
5) eliminare tutte le chiamate al file pio12.dll (trova del menu modifica - poi F3);
6) riavviare;

Anonimo ha detto...

la scansione con Internet Security, effettuata al riavvio (dopo aver eliminato a mano il file pio12.dll e relative istanze nel registro) ha avuto il seguente esito:
Il file C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\8FS5ODK3\VCodec1_01b[1].exe è infettato dal virus Download.Trojan.

N.B. prima dell'eliminazione del file pio12.dll la scansione non rilevava alcun virus.

Spero di essere stato di aiuto.

Anonimo ha detto...

Stamattina ho ricevuto una nuova versione:

Guardate questo video di un raggiro.

Attenzione che il prossimo potreste essere voi,
fatelo girare! Internet e la condivisione di informazioni ci permette di non farci fregare da gente come questa!

il file allegato è:
video_espl_icito.asx

danjar ha detto...

Grazie dell'aiuto ragazzi.
Confermo che il virus non utilizza il client di posta ma un suo motore SMTP.
Anche nelle intestazioni delle e-mail infette che ho potuto vedere è presente il campo Content-type = multipart/mixed; boundary="----=_NextPart_5649204857298" e assente il campo di un e-mailer buono (come Thunderbird, per dire.)
Ho attivato il monitoraggio dell'accesso ai file sul computer "sospettato", questo mi dovrebbe permettere di individuare la provenienza di eventuali futuri attacchi.
Su quel PC vi è una rubrica di Thunderbird (attiva) e una di Outlook (in disuso). Ho attivato il monitoraggio per entrambi i file.
Ho anche bloccato l'accesso in lettura al file della rubrica di Outlook, in disuso e maggiore indiziato - ho dei pregiudizi ;) - senza cancellarlo. Tutto questo dovrebbe bloccare attacchi effettuati attraverso la rubrica di Outlook ma non attraverso quella di Thunderbird (che serve funzionante), permettendo comunque di individuare il processo virale.

L'uso di un firewall per individuare l'eseguibile è purtroppo, in questo caso, un po' più complicato, perché non c'è un firewall installato sulla macchina; il firewall che c'è è di rete (sul server) e anche se individuassi le chiamate maligne potrei al massimo risalire alla macchina, ma non al processo.

In realtà è in progetto la formattazione del PC (che ha già da tempo altri problemi di suo...), ma se dovessi scoprire qualcosa nel frattempo vi farò sapere.

Anonimo ha detto...

il firewall che c'è è di rete (sul server) e anche se individuassi le chiamate maligne potrei al massimo risalire alla macchina, ma non al processo.

Ciao Danjar,
potresti provare a usare questo tool:
http://www.sysinternals.com/Utilities/TcpView.html
anche se potrebbe essere difficile individuare l'oggetto, nel caso in cui partisse subito all'avvio del sistema come dicevi nell'altro post e si scaricasse immediatamente dalla memoria. Comunque ci si mette poco a provare.
BTW, a me continuano ad arrivare mail infette, quindi direi che questo attacco non si è ancora esaurito: speriamo che non vengano fuori altre varianti, almeno non subito (obbligatoria toccata scaramantica).

Anonimo ha detto...

Scusate, ma per gli ignoranti come me, quando si clicca sul link per il codec e ci si becca il virus senza saperlo, cosa si deve fare per rimuoverlo???! Grazie! gieffe97@yahoo.it

Anonimo ha detto...

@gieffe97@yahoo.it: ho provato a infettare una macchina di test, ma la cosa ha funzionato fino a un certo punto (pio12.dll, che viene lanciato da rundll32.exe non è riuscito a iniziare correttamente un collegamento all'esterno).
Cmq da quello che ho visto, le indicazioni che ha postato Ignazio sono giustissime: per eliminare l'eseguibile e la DLL che installa, puoi seguire quella procedura e non dovresti avere problemi.

Anonimo ha detto...

Solo l'admin del portale acquaworld.it, visto che alcuni degli utenti della mia community si sono beccatti il trojan e il virus spammava nella mia casella ho deciso di creare un tool di rimozione, cmq adesso viene rilevato da molti antivirus, bisogna poi vedere se, e sottolineo SE sono capaci di rimuoverlo completamente visto che crea una decina di key nel registro....

http://www.acquaworld.it/forum/phpBB2/viewtopic.php?p=489&sid=e293942f2024fdb3239353b1231f86c3#489

Anonimo ha detto...

Ciao Admin di Acquaworld,
tu sei riuscito a capire qual è, tra i vari file che scarica il downloader a spammare la mail infetta? La mia macchina suicida ha fallito miseramente il suo compito, mi sa che se voglio capirci qualcosa dovrò prendere la via più lunga (leggi disassemblatore, unpacker et similia, e tirarmi giù a manina i vari file prelevati dal trojan ammesso che esistano ancora tutti).

Anonimo ha detto...

@Fab, Paolo, Ignazio e tutti: GRAZIE!! Io sono completamente ignorante in materia ed è "arabo" tutto quello che c'è scritto qui sopra, però attraverso il suggerimento di Fab che rimanda ai consigli di Ignazio, credo di aver risolto il problema (o almeno ho eliminato pio12.dll!).
In ogni caso, anche se non avessi risolto il problema, vi voglio ringraziare di cuore perchè la mia disoccupazione e l'affitto da pagare non mi permettono di rivolgermi ad un tecnico, ma senza pc posso anche scordarmi di riuscire a trovare un lavoro e quindi GRAZIE a voi credo e spero di aver salvato la macchina senza formattare (essere capace...) E' bello vedere che internet può essere usato anche per aiutare gratuitamente degli sconosciuti... Grazie ancora a tutti e scusate per il romanzo! gieffe97

danjar ha detto...

Aggiornamento:
La macchina infetta di cui parlavo (vedi messaggi precedenti) è stata formattata, quindi addio possibilità di determinare cosa esattamente facesse partire le e-mail.
Il monitoraggio dell'accesso ai file e TcpView non hanno rilevato nulla nel periodo di tempo intercorso prima della formattazione.
Però ho ancora qualche indizio da dare, se non addirittura una spiegazione. La stessa macchina risultava infettata anche dal trojan Boomka o Bomka, di cui funzionamento e modalità di rimozione sono descritti qui (sempre attivissimo.blogspot, con il contributo dell'ineffabile Fab).
Mi sembra chiaro che Bomka gestisse tutto attraverso script, il che spiegherebbe i lunghi periodi di "latenza" tra un attacco e il successivo.
Ho letto le informazioni su Bomka solo dopo la formattazione, quindi non ho potuto verificarne la rilevanza per il mio caso, comunque può darsi che servano a qualcun altro.
Può forse servire che le riassuma qui:
- Il trojan Win32/TrojanDownloader.Adload.AX, o Troj/Agent-BIZ, può essere un'infezione secondaria derivante da Bomka.
- Debellare Agent-BIZ non mette al riparo da Bomka (ovviamente).
- Per rimuovere Bomka seguite queste istruzioni (non le ho provate personalmente); trovate altre informazioni in merito all'infezione sulla pagina relativa della Symantec.
- Per rimuovere Agent-BIZ, oltre alla pagina di Sophos relativa, possono servire le informazioni fornite da scanspyware.net (che non prenderei però per "oro colato", visto che pubblicizzano un remover "affidabile al 100%"...)
- La minaccia di Bomka è seria: il trojan potrebbe prendere il controllo del vostro PC, rubarvi le password, spiare tutti i dati presenti sul vostro computer, compresi ovviamente quelli personali.
- Installate un personal firewall, utile a proteggervi dai trojan in genere. Io uso Outpost (free anche per utenti business) e mi trovo bene, ma nulla vieta che facciate qualche indagine e ne scegliate un altro (ad esempio ZoneAlarm). Potete partire da Wikipedia o Google per farvi un'idea. Inoltre, ascoltate Paolo Attivissimo...

Anonimo ha detto...

Nuova incarnazione dello stesso fenomeno. Il testo in questo caso é:

Il video del mio capodanno,
indovina chi e' la persona che mi sta a fianco?
Ciao...

il video qui è allegato (solo 1 KB !) e contiene un testo html che scarica il presunto codec da updatecodecs.t35.com

spero che questa informazione sia utile a qualcuno ...
vincenzo

_ ha detto...

su FaceBook mi trovo questo:

is the 169,069th person to join the cause STOP AL MASSACRO DEI CUCCIOLI DI FOCA. Join them: http://apps.facebook.com/causes/217696/49832335?m=55005d24
Pubblicato 5 ore fa ·

I really care about this issue and I hope my friends will join this cause too. We need more people to be involved!
Franco wants you to check out the cause he just joined - STOP AL MASSACRO DEI CUCCIOLI DI FOCA.

STOP AL MASSACRO DEI CUCCIOLI DI FOCA
169,062 members - $160 raised

e immediatamente peso alla storia delle foche...

e vedo che questi raccolgono soldi in giro per il mondo, ma chi siano veramente non si capisce...

sanno le lingue solo per chiedere soldi.

per spiegare in pubbilco SE ci sia un motivo giustificato no!

grazie un ammiratore italiano