Cerca nel blog

2006/05/09

Attenti al “video violento” via e-mail: ritorna la trappola del codec fasullo

Questo articolo vi arriva grazie alle gentili donazioni di "maria" e "carmelo".

Nuova versione di una vecchia trappola: "Mi hanno appena mandato questo video, lo passo a tutti quelli della mia rubrica perchè certe cose sono da vedere", dice il messaggio. Allegato al messaggio c'è un file di nome censu_red_video.asx.

Chi incautamente apre il file, sulla scia dell'emozione e della curiosità che fanno mettere da parte le regole della prudenza informatica, scopre che il video non parte, ma viene visualizzato il messaggio "Impossibile Trovare il Codec", con l'invito a seguire un link per scaricare il codec mancante. La cosa comincia a suonarvi familiare?

Il link non porta a un codec, ma a un file ostile, come si può notare aprendo l'allegato con un editor di testi come il Blocco Note di Windows:

<ASX version="3.0">
<ENTRY>
<TITLE>Impossibile Trovare il Codec</TITLE>
<REF HREF="http://www.vcodecobtain.com/movies/video.avi"/>
<DURATION VALUE="60:00"/>
<BANNER HREF="http://www.vcodecobtain.com/movies/codec-alert.gif">
<ABSTRACT>Clicca qui per scaricare i codec aggiornati</ABSTRACT>
<MOREINFO HREF="http://www.vcodecobtain.com/download/VCodec1_01b.exe" />
</BANNER>
</ENTRY>
</ASX>

Un lettore, fc, mi segnala che ne esiste anche una versione che si intitola "Fw: devastazione uragano ivan, agghiacciante !!" e contiene il testo "Vi inoltro questo video... mai visto niente del genere nemmeno in tv :(", con un allegato che si spaccia per file video ma in realtà usa lo stesso meccanismo descritto qui sopra per portare a un file-trappola.

Luca.Berra****, invece, segnala una variante dal titolo "RE: Caccia ai cuccioli di foca, vergogna!", il cui testo è "a volte la tv non fa vedere certe cose... consiglio la visione del video allegato ad un pubblico "adulto" - buon lavoro a tutti": l'allegato è filmato_amato_riale_01.asx.

Il file-trappola (che non è l'allegato, ma il file EXE presente nel sito-trappola indicato dall'allegato) è stato identificato dopo qualche ora da Kaspersky come un trojan downloader: una roba assai tossica, insomma.

Fc mi segnala che una delle versioni dell'e-mail trappola che ha ricevuto "non funziona in quanto contiene un errore nel link. Se ci clicchi sopra, si apre il Media Player e ti dà un errore, ma non ci sono altri effetti". In ogni caso, è meglio starne alla larga. Ne parlo qui non tanto perché si tratta di una novità particolare, ma perché così chi ha il buon senso di cercare informazioni sul messaggio in Google troverà quest'articolo di avviso.

La regola è sempre la solita: non lasciatevi influenzare dal mittente apparente, dall'emozione o dalla tentazione nello scegliere quali allegati aprire. E' proprio su questo che contano i truffatori e i vandali della Rete.


Aggiornamenti


2006/05/09 19:00. Avevo segnalato a Netcraft l'URL a rischio, ma Netcraft ha rifiutato di aggiungerlo ai suoi siti bloccati perché non sono in grado di verificarne la pericolosità ("We cannot verify that this is a malicious executable"). Che testoni.

2006/05/09 21:30. Adesso Kaspersky riconosce il file ostile come Trojan-Downloader.Win32.Adload.ax. Ho aggiornato l'articolo per tenerne conto. Riprovo a inviare la segnalazione a Netcraft, con due parole di cordiale rimprovero.

2006/05/09 21:50. Arriva la risposta di Netcraft: "The URL you recently submitted could not be accepted as a phishing site by the Netcraft Anti-Phishing Team, for the following reason: We cannot verify that this is a malicious executable". Ci rinuncio.

2006/05/10 8:00. Dopo un mio nuovo e-mail di protesta, arriva una nuova risposta di Netcraft: dicono che bloccano il malware soltanto se Clamav o Bitdefender lo identifica come sospetto, e che pertanto dovrei segnalare il malware a questi due antivirus open source. Va bene: almeno adesso sappiamo come regolarci.

Nessun commento: