Cerca nel blog

2006/12/01

Spam avvocato Gentili, dettagli tecnici

Dettagli tecnici sull'attacco informatico di ieri

Questo articolo vi arriva grazie alle gentili donazioni di "fabrix" e "manuel.is****". L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Il virus linkato nello spam di ieri, quello che si spaccia per una diffida di un inesistente avvocato Gentili, è ora riconosciuto dal test online di Kaspersky come Trojan-Dropper.Win32.Agent.azv (grazie a gianluca81 per la segnalazione).

Da Paolo Monti di NOD32.it ricevo queste info tecniche sul virus ospitato presso i siti-trappola indicati nel messaggio di spam. Il file si chiama removal_tool.exe, occupa 70144 byte ed è compresso con UPX. Se eseguito, installa una libreria dinamica (DLL) con il nome webdesk.dll nella cartella di sistema predefinita di Windows.

La DLL viene installata come Browser Helper Object di Internet Explorer, ovvero come modulo che verrà caricato da IE ad ogni avvio. La DLL ha una dimensione di 46080 byte ed è compressa con il programma UPX. Entrambe i file eseguibili, EXE e DLL, sono scritti con il compilatore Visual C++. Probabilmente si tratta di un'infezione che ha funzioni di spyware, dice Monti.

La DLL, se scompattata, rivela la presenza di queste stringhe di testo:

www.blackblues00.com
www.rockantistar.com
www.fantasywaves.com
www.blackskycorp.com
www.rosewinery.com
http://www.microsoft.com
http://www.omegashippingcorp.com/s2.php

Secondo Paolo Monti, il virus contiene chiare indicazioni del fatto che si tratta di un malware italiano, come la presenza di queste stringhe di testo nel file removal_tool.exe:

WinMerd
|*police.it|*poliziadistato.it|*polizia-penitenziaria.it|*polstrada.it|*poliziamunicipale.it|
*polmunicipalemartina.it|*munipol.it|*polizia.it|*carabinieri.it|
*carabinieri-bellinzona.com|*carabinieri.net|*interno.it|*uilinterno.it|
*mininterno.it|*nsd.it|*admi.it|*concorsi.it|*esteri.it|*codacons.it|*punto-informatico.it|
*clusit.it|*criminologia.org|*diritto.it|*agcom.it|*attivissimo.net|
*serviziinformazionesicurezza.gov.it|*sisde.it|*governo.it|*palazzochigi.it|
|*polizi*|*avvoca*|*finan*|*police*|*carabini*|*polpost*|*comando*|*questur*|

Noterete l'inquietante presenza di attivissimo.net nella lista :-)

Altre stringhe trovate da Paolo Monti indicano che è il virus è chiaramente confezionato su misura per il mercato italiano:

Sono stati rimossi i seguenti virus:
Evil mailer 1.0.87
Non sono stati rilevati virus.
Virus Killer 5.1

Questi, presumibilmente, sono i falsi messaggi che visualizza il virus per spacciarsi come antivirus.

Nessun commento: