Tecnologia e Digital Hacks
03-07-2007

Martina@fastweb.it

Questo l'indirizzo dell'email che ultimamente colpisce molti account italiani (e non solo). Ecco il testo:
Ciao come va tutto ok?? Spero di si..Perdonami del ritardo ma nn avevo tempo di farmi fare le foto..eccole qui in allegato caso mai non le visualizzi scaricale da http://sito/%20/%20/photo/martina/martina.zip Baci Martina
All'inizio volevo darci un'occhiata da solo su una macchina virtuale, ma riporto piuttosto i commenti di un altro blogger (per non rifare l'ottimo lavoro già svolto):
A prima vista, soprattutto per chi una Martina la conosce realmente, potrebbe sembrare un banalissmo invio di foto da parte di un amica. Purtroppo, dietro a questo allegato si cela una minaccia informatica molto in voga negli ultimi tempi. Il file allegato si presenta come archivio .zip, all’interno del quale vi è un eseguibile sapientemente mascherato, per farlo sembrare una normale foto. Non viene rilevato dall’antivirus, per cui è abbastanza difficile accorgersi della minaccia fino a quando non ci clicchiamo sopra, inoltre sfruttando il fatto che poche persone hanno le estensioni visibili, il file appare in formato .jpg. Ho scaricato l’archivio su una macchina virtuale, l’ho estratto, l’ho lanciato, e dopo un paio di crash del computer con la cpu costantemente al 100%, sono riuscito a capire (più o meno) come lavora sto bastardo. Se non sbaglio dovrebbe appartenere alla categoria dei Trojan, una volta cliccato sull’eseguibile vengono creati altri due file .exe in queste directory: C:\Documents and Settings\nomeutente\Impostazioni locali\Temp\spynew.exe C:\WINDOWS\system32\server.exe
Il primo processo(spynew.exe), teneva la cpu costantemente oltre l’80%, per cui era impossibile lavorare sulla macchina infetta, considerato che girava su vmware potrebbe avere un approccio diverso su un dispositivo che non utilizza virtualizzazione. Il secondo file, è l’eseguibile del server, utilizzato per stabilire una connessione con il nostro pc. Non ho trovato tracce di esecuzioni automatiche, per cui il file non dovrebbe partire automaticamente al successivo avvio del pc, in ogni caso procuratevi un gestore d’avvio per controllare meglio, e fate una scansione con Hijackthis. L’eliminazione è abbastanza semplice, è sufficiente cancellare (manualmente) i due eseguibili creati, in quanto ne’ Nod32, ne’ AVS rilevano la minaccia [NDH: ora la rilevano, ma la prima volta che ho ricevuto l'email erano solo 4 tra gli AV di VirusTotal]. Ho già segnalato alla polizia postale il server che ospita la minaccia, questa è la strada che dovrebbe percorrere chiunque si trovi davanti a questo tipo di frodi. Controllate sempre l’header dei messaggi di posta elettronica sospetti, l’indirizzo non corrisponde mai a quello reale. Se verificate la voce Return-Path: noterete che l’indirizzo non corrisponde con quello alla voce From: Inoltre, gli indirizzi utilizzati per questi tentativi di accesso/frode/truffa, contengono spesso degli errori di sintassi o tecnici: la mail che ho ricevuto aveva come mittente Martina@fastweb.it, mentre il dominio corretto delle mail residenziali Fastweb è fastwebnet.it
Ecco infine il rapporto di VirusTotal VirusTotal scan

Questo articolo è stato pubblicato il 31-12-1969 alle 18:33 e classificato in SicurezzaHacking.

2 Commenti a “Martina@fastweb.it”

  1. aggery scrive:
    31-12-1969 alle 18:33

    Ciao, purtroppo ho avuto qualche casino con il database in seguito al cambio di mantainer. Quindi la struttura dei permalink è andata a farsi fottere e il link che hai messo (che era corretto), ora non punta più all'articolo. Il nuovo link è http://www.aggery.it/?p=247 Scusami e grazie mille per la citazione. Ciao.

  2. Nick scrive:
    31-12-1969 alle 18:33

    Ringrazio te per l'ottimo lavoro. Link aggiornato. :)