Remove From My Forums

Alert: Nuovo malware - email sugli "autovelox"

Discussione generale
0

Registrati per votare
E' in circolazione un nuovo malware "fresco" di giornata,
il "coso" arriva in maniera abbastanza innocua, in pratica
vi potrà arrivare una email contenente un link ad un sito
che dovrebbe permettere di localizzare gli "autovelox"
peccato però che il link, dopo una redirection ed uno
script (jscript) "offuscato" scarichi un'applet Java che,
a sua volta si preoccuperà di scaricare un exe (nel mio
caso il nome era "install_flash_player.exe") ed avviarlo.
questo programma all'avvio, tra le altre cose andrà a
modificare il contenuto del file hosts inserendo nello
stesso delle voci relative ad alcuni siti/domini bancari
come, ad esempio (ho modificato gli IP onde evitare problemi)

192.0.2.75 www.sella.it 192.0.2.75 sella.it 192.0.2.102 www.unicreditbanca.it 192.0.2.102 unicreditbanca.it 192.0.2.102 online.unicreditbanca.it

a questo punto aprendo uno dei siti di cui sopra ci si troverà
di fronte ad un sito "fasullo" creato ad-hoc per carpire le
credenziali di accesso

Da notare che il file "exe" di cui sopra al momento NON è
ancora riconosciuto dagli antivirus, come testimonia il
risultato di questa scansione online

http://www.virustotal.com/file-scan/report.html?id=232f3f3e5486f89d150664bec1180cb9ec220e4c4654eb6272843d146f1cb98d-1308143176

ho ovviamente provveduto ad informare i vari "vendors"
AV (inclusa Microsoft) ma, considerando i tempi tecnici
prima del rilascio delle "firme" consiglio di fare attenzione
nel caso si riceva una email come quella di cui sopra
- Tipo modificato Anca Popa giovedì 16 giugno 2011 07:59 discussione generale
- Spostato Anca Popa lunedì 7 novembre 2011 11:07 spostato nel forum di riferimento (Da:Sicurezza, Microsoft Forefront, Gestione degli Accessi e delle Identità)
mercoledì 15 giugno 2011 16:01

Risposta

|

Citazione

Tutte le risposte

1

Registrati per votare

a sua volta si preoccuperà di scaricare un exe (nel mio
caso il nome era "install_flash_player.exe") ed avviarlo.

per conoscenza...

* 2011-06-15 13:06 UTC
http://www.virustotal.com/file-scan/report.html?id=232f3f3e5486f89d150664bec1180cb9ec220e4c4654eb6272843d146f1cb98d-1308143176

* 2011-06-16 08:32 UTC
http://www.virustotal.com/file-scan/report.html?id=232f3f3e5486f89d150664bec1180cb9ec220e4c4654eb6272843d146f1cb98d-1308213145

* 2011-06-17 12:51 UTC
http://www.virustotal.com/file-scan/report.html?id=232f3f3e5486f89d150664bec1180cb9ec220e4c4654eb6272843d146f1cb98d-1308315094

* 2011-06-21 08:20 UTC
http://www.virustotal.com/file-scan/report.html?id=232f3f3e5486f89d150664bec1180cb9ec220e4c4654eb6272843d146f1cb98d-1308643348

* 2011-06-22 09:03 UTC
http://www.virustotal.com/file-scan/report.html?id=232f3f3e5486f89d150664bec1180cb9ec220e4c4654eb6272843d146f1cb98d-1308733431

va considerato che il primo "scan" risale alla "scoperta" del
malware, data alla quale un campione del malware è stato
inviato a tutti i maggiori produttori AV, gli altri sono relativi
agli aggiornamenti via via pubblicati

mercoledì 22 giugno 2011 10:48

Risposta

|

Citazione
0

Registrati per votare
Ciao,

Ringraziando del post, l'ho spostato negli Annunci per lasciare piu' spazio alle tante novita'.

L'articolo resta molto rilevante per questo Forum, intanto per evidenziarlo meglio inserisco il collegamento nell'elenco di FAQ ed articoli utili sull'argomento.

Saluti,

Anca Popa

Come inserire immagini nei post

Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.
- Modificato Anca Popa lunedì 7 novembre 2011 11:07
lunedì 7 novembre 2011 11:06

Risposta

|

Citazione