Cerca nel blog

2006/12/01

Spam avvocato Gentili, dettagli tecnici

Dettagli tecnici sull'attacco informatico di ieri

Questo articolo vi arriva grazie alle gentili donazioni di "fabrix" e "manuel.is****". L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Il virus linkato nello spam di ieri, quello che si spaccia per una diffida di un inesistente avvocato Gentili, è ora riconosciuto dal test online di Kaspersky come Trojan-Dropper.Win32.Agent.azv (grazie a gianluca81 per la segnalazione).

Da Paolo Monti di NOD32.it ricevo queste info tecniche sul virus ospitato presso i siti-trappola indicati nel messaggio di spam. Il file si chiama removal_tool.exe, occupa 70144 byte ed è compresso con UPX. Se eseguito, installa una libreria dinamica (DLL) con il nome webdesk.dll nella cartella di sistema predefinita di Windows.

La DLL viene installata come Browser Helper Object di Internet Explorer, ovvero come modulo che verrà caricato da IE ad ogni avvio. La DLL ha una dimensione di 46080 byte ed è compressa con il programma UPX. Entrambe i file eseguibili, EXE e DLL, sono scritti con il compilatore Visual C++. Probabilmente si tratta di un'infezione che ha funzioni di spyware, dice Monti.

La DLL, se scompattata, rivela la presenza di queste stringhe di testo:

www.blackblues00.com
www.rockantistar.com
www.fantasywaves.com
www.blackskycorp.com
www.rosewinery.com
http://www.microsoft.com
http://www.omegashippingcorp.com/s2.php

Secondo Paolo Monti, il virus contiene chiare indicazioni del fatto che si tratta di un malware italiano, come la presenza di queste stringhe di testo nel file removal_tool.exe:

WinMerd
|*police.it|*poliziadistato.it|*polizia-penitenziaria.it|*polstrada.it|*poliziamunicipale.it|
*polmunicipalemartina.it|*munipol.it|*polizia.it|*carabinieri.it|
*carabinieri-bellinzona.com|*carabinieri.net|*interno.it|*uilinterno.it|
*mininterno.it|*nsd.it|*admi.it|*concorsi.it|*esteri.it|*codacons.it|*punto-informatico.it|
*clusit.it|*criminologia.org|*diritto.it|*agcom.it|*attivissimo.net|
*serviziinformazionesicurezza.gov.it|*sisde.it|*governo.it|*palazzochigi.it|
|*polizi*|*avvoca*|*finan*|*police*|*carabini*|*polpost*|*comando*|*questur*|

Noterete l'inquietante presenza di attivissimo.net nella lista :-)

Altre stringhe trovate da Paolo Monti indicano che è il virus è chiaramente confezionato su misura per il mercato italiano:

Sono stati rimossi i seguenti virus:
Evil mailer 1.0.87
Non sono stati rilevati virus.
Virus Killer 5.1

Questi, presumibilmente, sono i falsi messaggi che visualizza il virus per spacciarsi come antivirus.

44 commenti:

Turz ha detto...

Per caso le stringhe sono dei "residui" di cookies presenti nel computer del creatore del virus al momento della compilazione?

yeridiani ha detto...

Inquietante??
Ma se ti odiano per il solo fatto che ogni tanto dimostri agli imbecilli che sono anche cretini .. figurati come sei amato tra quelli che ci vivono sui cretini...

Taliesin ha detto...

A puro titolo informativo Paolo volevo comunicarti che l'antispam di Thunderbird (almeno per quanto mi riguarda) ha marcato come Junk questo articolo inviato tramite mailing list, stavolta la tua consueta cautela per non incappare nei filtri antispam non ha dato i suoi frutti :)
adesso sei tra i miei trusted sender...almeno evitiamo i problemi

miki64 ha detto...

E' vero che quell'avvocato è un imbecille!
Alla fin fine quale è il suo scopo?
Infettare un p.c.?
E per ricavarne cosa, poi?
Nulla.

Conclusione: E' un imbecille!

Anonimo ha detto...

La domanda e' cosa fa questo virus?

E la lista di quei domini, serve a qualcosa? Tipo lo spyware si attiva quando viene visitato un sito all'interno di quei domini?

Anonimo ha detto...

"l'antispam di Thunderbird (almeno per quanto mi riguarda) ha marcato come Junk questo articolo inviato tramite mailing list"

Il mio Antispam di TB (1.5.0.8) invece, intuendo chi fosse Paolo Attivissimo, l'ha lasciato passare indenne !! :-)

Marco

a_lounge_lizard ha detto...

Come da articolo di Punto Informatico, la DLL non si installa se il dominio del ricevente e' incluso fra quelli elencati, che probabilmente rappresentano quelli che l"untore" non vuole fare incazzare. Paolo e' incluso...

Inoltre, notiamo il sito della Polizia Municipale di Martina Franca (Taranto) e dei Carabinieri di Bellinzona..

Il nostro amico e' pugliese? O svizzero?

mastrocigliegia ha detto...

WinMerd
......


Non è che il "nostro" sia un linuxiano?

Ivan Zega ha detto...

E ha interesse a non infettare gente di concorsi.it. Qualcuno riesce a fare ricerche incrociate? Sono disponibile per un gruppo di lavoro.

Anonimo ha detto...

e si farebbe sgamare così facilmente?

andrea.

Gino Lucrezi ha detto...

Hai fatto bene a non mettere le stringhe del virus nella tua email. Qualunque antispam, vedendo www.microsoft.com, lo avrebbe fermato ;-)

Anonimo ha detto...

Paolo, il tuo sito è tra la polizia di stato e il sisde. Come fai a continuare a dire che non sei pagato dalla CIA?


:-)


Marco B.

Ivan Zega ha detto...

e si farebbe sgamare così facilmente?

No, ma non ha potuto evitare di lasciare quei tre indizi.

Anonimo ha detto...

Inoltre, notiamo il sito della Polizia Municipale di Martina Franca (Taranto) e dei Carabinieri di Bellinzona

??? a bellinzona i carabinieri ???
abbiamo annesso il canton ticino ????

a_lounge_lizard ha detto...

carabinieri-bellinzona.com e' il sito della "Societa' Carabinieri Bellinzona", solo un gruppo di amanti delle armi e di tiro al bersaglio.

Scusate l'imperdonabile refuso.

Anonimo ha detto...

altro sedicende avvocato è tale:
Avv. Ettore Balzani", con account di posta: "balzaniavvstudio" e dominio "fastwebnet.it"

Antonio Trogu ha detto...

Molto interessanti Paolo questi dettagli. Mi sono occupato anch'io del problema sul mio blog (sul tuo non c'era ancora), ma poi, per gli aggiornamenti ho linkato al tuo.
Ancora complimenti.
Antonio

carlo ha detto...

Appena ricevuta...

Ciao, Roberto (nintendofan@interfree.it) ti invita a guardare questo video della Nintendo, clikka sul link sottostante per visionarlo

http://www.brain-a-friend.com

mi sapete dire cos'è?

ps. non mi chiamo roberto e
non mi piacciono i giochi.

Anonimo ha detto...

scusate se utilizzo questo spazio per chiedere una cosa direttamente a Paolo (ed eventualmente avere un riscontro anche vostro) ma non sarebbe ora di analizzare anche la questione aids? vista anche la ricorrenza odierna. Ci sono tanti punti da chiarire.

Andrea

rodri ha detto...

Noterete l'inquietante presenza di attivissimo.net nella lista :-)

ROFL!!!

Vince ha detto...

Io l'ho ricevuta giovedi mattina alle otto, forse tra i primi. Mi ha fatto passare un brutto quarto d'ora finchè non ho "sgamato" il trucco analizzando gli header e facendo qualche ricerca incrociata sull'ordine degli avvocati.
Ero tanto scioccato da esserci quasi cascato che ho fatto una riflessione: perchè ha fatto notizia? Semplice- E' cofezionata molto bene, in italiano, e soprattutto proviene da un account legittimo (almeno la mia veniva da un dial-up di libero attraverso il loro smtp).
Quindi gran parte degli spam filter non l'ha cassata con il reverse lookup.
Sul momento ho anche mandato un report ad abuse@libero.it, ma temo che i signori di Wind se ne infischino: tutt'al più gli chiudono l'account ma non lo denunciano certo alla magistratura.
Infatti, in giornata, (per loro iniziativa o su richiesta della polizia giudiziaria) possono sicuramente risalire al punto esatto di collegamento (telefono o ADSL). Il resto lo fa il giudice.
Chissà forse uno degli Avvocati Gentili subissati di telefonate smuoverà le acque?

TNT ha detto...

Vince e tutti gli altri che sostengono di sapere l'IP di chi l'ha mandato: questo tipo di spam, specie quello di questa portata, proviene SEMPRE da botnet... in altre parole il computer che effettivamente esegue l'invio non e' certo di proprieta' dello spammer, e' sempicemente un computer infetto controllato da remoto dallo spammer.

Anonimo ha detto...

Aggiungo questa versione:
Buongiorno,
lei e molti altri della mia lista contatti mi avete inviato il messaggio che allego
qui sotto. Purtroppo ho paura che si tratti di un nuovo worm che si sta diffondendo
ultimamente, le consiglio di eliminarlo al più presto
per scongiurare danni peggiori al suo computer!
Io l'ho eliminato con il tool che ho trovato a questa url:
http://www.spywaresmasher.biz


Spero di esserle stato d'aiuto
saluti cordiali
Manuel Molinaro

----- Original Message -----
From: MIAMAIL@vi rgilio.it
To: 'Manuel Molinaro'
Sent: November 26, 2006 18:43
Subject: ehehehe

apri lo zip allegato è un gioco porno!


eseguilo e fallo girare!!

ci sentiamo
[MIAMAIL]@v irgilio.it

Anonimo ha detto...

Ricevuta da un certo "Mirko Cosattini", pochi minuti fa.Il dominio ".biz" del sito mi ha reso subito diffidente...2 minuti di ricerca su questo fantomatico Virus Killer 5.1 mi hanno portato qui. :)
____________________________
Buongiorno,

lei e anche altri mi avete inviato il messaggio che inoltro
qui sotto. Purtroppo ho paura che si tratti del nuovo worm che si sta diffondendo
in questi giorni, le consiglio di rimuoverlo al più presto
per evitare danni peggiori ai suoi documenti!
Io l'ho rimosso con il tool disponibile in questo sito:
http://www.adwaredestroyer.biz

Mi auguro che riesca a rimuoverlo
Cordialità

Mirko Cosattini

----- Original Message -----
From: (mia)@(mail).it
To: 'Mirko Cosattini'
Sent: November 24, 2006 15:17
Subject: troppo bello

apri il documento allegato è un game sessuale!


eseguilo e fallo girare!!

ciao!
(mia)@(mail).it

Anonimo ha detto...

Mi aiutate perfavore?
Ho ricevuto una mail uguale a quelle riportate ed ho abboccato!
Ho installato un virus nel mio pc?
Per rimuoverlo basta il normale antivirus?
Quali potenziali danni rischio?
Grazie mille!
Elisa

Anonimo ha detto...

Per chiunque avesse abboccato lanciando il removal_tool.exe che inocula lo Spambot, un efficace antidoto è scaricabile all'indirizzo

http://www.nod32.it/cgi-bin/mapdl.pl?tool=SpamBot

Autore è il Monti altrove citato nel Blog

Ax Artico ha detto...

Nella azienda per cui lavoro abbiamo ricevuto più di una di queste e-mail.
La variante qui era "studio Gentili - Roma"

Qui per chi interessa i dettagli Truffa e-mail

Vince ha detto...

Tnt, hai probabilmente ragione. Il mio commento è stato superficiale e forse dettato dal fatto che essereci quasi cascato "mi brucia". Ma non so se qualcuno si prenda mai la briga di controllare. Tutti fanno qualche sciocchezza prima o poi ... anche gli spammer. Senza dubbio chi ha mandato questa roba qui è un bel professionista, coma in Italia forse non s'era mai visto. Preoccupante.

Giovanni ha detto...

Ho ricevuto una mail simile, ma non indirizzata da un avvocato, bensì da un utenete qualsiasi che però indirizza ad un sito dove è presente lo stesso virus removal_tool.exe

Anonimo ha detto...

il nod32 nn mi cancellate definitivamente il virus!!! come faccio a cancellarlo definitivamente? grazie

Anonimo ha detto...

se andate su Whois potete verificare l'IP del dominio adwaredestroyer.biz.
Facendo reverse IP, troverete altre decine di nomi di dominio .biz dal nome simile o che comunque richiama il senso che probabilmente verrano utilizzati in attacchi futuri... Vi consiglio di bloccare l'IP..
Ciao

Anonimo ha detto...

il nod32 non rileva il virus ! kaspersky si !

saluti.

Andrea Sacchini ha detto...

La variante dell'avvocato, che ho ricevuto stamattina, me l'ha spedita un fantomatico Alex Baldassino. Se vi interessa ho scritto due righe sul mio blog.

Anonimo ha detto...

Ho ricevuto un'altra variante, il mittente adesso è:

Alberto Udorovich alberto.udorovich.77@inwind.it

Occhi aperti!
Pas

Anonimo ha detto...

Ho ricevuto una variante di questa mail...

Buonasera,
lei e anche altri della mia rubrica mi avete inviato la mail che riporto di seguito. Purtroppo temo si tratti di un nuovo worm che si sta diffondendo in questi giorni, le consiglio di rimuoverlo al più presto
per evitare danni peggiori ai suoi documenti!


Io l'ho eliminato con il removal tool disponibile in questo sito:
http://www.1st-In-SpyWare-Killer.biz

Mi auguro che possa risolvere
Cordialità

Mattia Cuttini

----- Original Message -----
From:
To: 'Mattia Cuttini'
Sent: November 30, 2006 10:49
Subject: giochino

apri il file allegato è un game porno!


clicca e fallo girare!!

ciao!

Mcphil ha detto...

Nuova variante: la mail ha lo stesso testo, ma il link punta verso http://www.adwarestoper.biz e il mittente è un certo Gianluca Feruglio.
ciao Fil

alberto ha detto...

Anch'io vorrei segnalare una variante: l'avvocato stavolta è Wingolf (proprio così!) e l'indirizzo completo è:
Studio Legale
Tommaso Wingolf e associati
Via Pascanella 76
Venezia

Stavo per rispondergli: "Ma installatelo te l'antivirus", anche se il tono minatorio lì per lì mi aveva allarmato. Ovviamente non risultano Wingolf a Venezia, né su Pagine Gialle né su Pagine Bianche... Il link è http://www.nowimprotected.com, e sostiene di essere il migliore per bloccare virus e "Troians"...

Anonimo ha detto...

Ciao a tutti e complimenti.
Vorrei segnalare una nuova variante, che ho ricevuto oggi:

Da: gianluca.adalbert.87@supereva.it
Data: 06/12/2006 1.54
A: xxx@xxx.xx
Ogg: abusi

-- snip --

Gentile utente xxx@xxx.xx,


sono l'avvocato Gianluca Adalbert titolare dell'omonimo studio Legale,

-- snip --
con link a http://www.addwarekiller.com
-- snip --

Ufficio Legale
Gianluca Adalbert e associati
Corso Magenta 14


la cosa che mi ha incuriosito è che... se fosse un avvocato, sarebbe uno sprovveduto, scrive come un cane.
Promette di denunciare, di passare alle vie legali, quello che ha ottenuto per adesso, è una segnalazione ad abuse.

Mi ha fatto incontrare il vostro blog, quindi devo ringraziarlo!

Ax Artico ha detto...

E' uscita una nuova variante questa volta è inviata da "Stud. Legale
Giacomo Jannis e soci".

Il dominio di riferimento è diverso diverso, il removal_tool.exe mi pare lo stesso.


Digitismi - Ax

tcp-ip ha detto...

Dagli ultimi messaggi mi pare di capire che sono passati ad usare nomi di avocati immaginari. Devono aver capito che è meglio non far arrabbiare quelli veri come aveva notato qualcuno in qualche commento.
Ci leggono, o dobbiamo sperare che qualche avvocato si è mosso davvero?

Anonimo ha detto...

Di sicuro far incazzare gli avvocati veri con i messaggi da queli falsi non gli conviene... specialmente se, come sembra dal linguaggio, sono spammer italiani. >:D

Anonimo ha detto...

Attenzione, il virus malefico continua a fare danni. Confermo che NOD32 non lo rileva. E nemmeno Avast. Ho dovuto installare Kaspersky per trovarlo e neutralizzarlo.
Confermo anche che si tratta del virus:
Trojan-dropper.Win32.Agent.azv
saluti
Max

Anonimo ha detto...

sembra che il famoso avvocato cambi continuamente....
L'email che ho sottomano punta ad un nuovo sito (anche se sembra gia oscurato) WWW.ADDWAREKILLER.COM, registrato da un sito cinese a nome di :
Steven Marcus
Quequin 774 Quito5574 Canar,Ecuador
tel: 593 547 558741
fax: 593 547 558741
Ma il sito è in cina.
Ho rintracciato L'ip da cui partono le email.....e ancora cina.
La mia impressione è che qualcuno usi server russi e cinesi come ripetitori, ma la base sono quasi certo sia qui in italia.....
non è che posso dare un occhiata al EXE in questione, vorrei cercare di capire cosa fa in concreto e sopratutto dove si va a collegare......

shadowcrack

MattiaC ha detto...

E' interessante come tra le randomizzazioni di nomi possibili sia venuto fuori proprio il mio...