none
Alert: Nuovo malware - email sugli "autovelox" RRS feed

  • Discussione generale

  • E' in circolazione un nuovo malware "fresco" di giornata,
    il "coso" arriva in maniera abbastanza innocua, in pratica
    vi potrà arrivare una email contenente un link ad un sito
    che dovrebbe permettere di localizzare gli "autovelox"
    peccato però che il link, dopo una redirection ed uno
    script (jscript) "offuscato" scarichi un'applet Java che,
    a sua volta si preoccuperà di scaricare un exe (nel mio
    caso il nome era "install_flash_player.exe") ed avviarlo.
    questo programma all'avvio, tra le altre cose andrà a
    modificare il contenuto del file hosts inserendo nello
    stesso delle voci relative ad alcuni siti/domini bancari
    come, ad esempio (ho modificato gli IP onde evitare problemi)

    192.0.2.75 www.sella.it
    192.0.2.75 sella.it
    192.0.2.102 www.unicreditbanca.it
    192.0.2.102 unicreditbanca.it
    192.0.2.102 online.unicreditbanca.it

    a questo punto aprendo uno dei siti di cui sopra ci si troverà
    di fronte ad un sito "fasullo" creato ad-hoc per carpire le
    credenziali di accesso

    Da notare che il file "exe" di cui sopra al momento NON è
    ancora riconosciuto dagli antivirus, come testimonia il
    risultato di questa scansione online

    http://www.virustotal.com/file-scan/report.html?id=232f3f3e5486f89d150664bec1180cb9ec220e4c4654eb6272843d146f1cb98d-1308143176

    ho ovviamente provveduto ad informare i vari "vendors"
    AV (inclusa Microsoft) ma, considerando i tempi tecnici
    prima del rilascio delle "firme" consiglio di fare attenzione
    nel caso si riceva una email come quella di cui sopra

    • Tipo modificato Anca Popa giovedì 16 giugno 2011 07:59 discussione generale
    • Spostato Anca Popa lunedì 7 novembre 2011 11:07 spostato nel forum di riferimento (Da:Sicurezza, Microsoft Forefront, Gestione degli Accessi e delle Identità)
    mercoledì 15 giugno 2011 16:01

Tutte le risposte