Archivi tag: virus

Sicurezza, occhio al nuovo video-virus!

Fate attenzione a questo nuovo virus-mail.
Ne ho ricevuto uno proprio questa mattina (“Mi hanno appena mandato questo video, lo passo a tutti quelli della mia rubrica perchè certe cose VANNO viste”) e ho subito cancellato l’allegato sospetto.

Ecco che ci dice il blog di Paolo Attivissimo:

Una nuova ondata di e-mail virali sta arrivando da un paio di giorni nelle caselle di posta. Il meccanismo non è nuovo ma comunque astuto e interessante dal punto di vista psicologico: l’e-mail sembra provenire da un conoscente e ha un titolo che incuriosisce e induce ad aprire l’allegato, che è una trappola.

Per esempio, uno dei titoli è “come ci prendono tutti in giro?”, accompagnato dal testo “avevate mai visto una cosa del genere? perchè non le fanno vedere alla televisione queste cose? consiglio di farlo girare !!”.

Un altro messaggio contiene la frase “guardate un pò qui, certe cose in TV non te le fanno vedere… non ho potuto fare a meno di inviarlo a tutto il mio indirizzario”.

Un terzo esempio ha come testo “è incredibile che certe cose si vedano solo sui blog. Diffondete.”. Altri messaggi parlano di un “incidente pazzesco mai trasmesso in tv”.

Cliccando sull’allegato, il video non parte, apparentemente perché è “impossibile trovare il codec” (come mostrato nell’immagine qui sopra). In realtà l’allegato fa credere a Windows di essere un file video (usando il Content-Type: video/x-ms-asf), ma è un pezzo di codice HTML che porta al sito Vcodecget.net. In altri casi porta a Vcodecpull.com.

Nei siti c’è un file eseguibile (per Windows), che l’analisi online di Kaspersky non identifica come pericoloso al momento in cui scrivo. Direi che è comunque evidente l’intento ostile di questi messaggi, per cui il file non va aperto e anzi va cancellato subito.

[…] ricordate di non aprire gli allegati inattesi, neanche se ve li mandano (apparentemente) gli amici!

Virus e bufale

Partiamo dai pericoli reali.

da Punto Informatico

Domani, 3 febbraio, il worm Kama Sutra farà esplodere la sua prima carica ad orologeria: come conseguenza, in tutti i sistemi dove l’infezione è attiva, verranno sovrascritti e resi illeggibili tutti i documenti e i file compressi aventi certe estensioni.

L’articolo completo con i consigli per la rimozione, lo trovate qui

E passiamo alle bufale. Alcuni amici mi hanno già chiesto se il pericolo fosse reale.

Sempre da Punto Informatico

Con diversi subject più o meno allarmanti (si va da “attenzione” ad “allarme rosso”), sta girando sulla rete italiana una mail che avverte di un “terribile virus distruttivo” che, associato all’immagine di una Torcia Olimpica, sarebbe in grado di distruggere l’hard disk.

Si tratta di una bufala, se siete interessati ad approfondire l’argomento, l’articolo completo è qui

Sicurezza: attenzione ai falsi file Office allegati ai messaggi

Titolo e post dal blog di Paolo Attivissimo:

immagine icona wordHo ricevuto numerose segnalazioni di un nuovo attacco informatico basato su un e-mail in italiano che promette informazioni personali incluse in un documento Office cifrato. Il messaggio sembra provenire da una persona nota al destinatario.

Ecco un esempio di testo del messaggio:

ciao,

ho trovato , per una coincidenza, un file che
contiene alcune informazioni su di te.
ho preferito proteggerlo con una password,
non vorrei che andasse in giro e lo aprisse qualcuno.

la password per aprire il file zippato è “privato12”, quando hai unzippato troverai un file Office cryptato. aprilo con un doppio click.

fammi sapere subito,
scusami ma sono un po’ in ansia…

Allegato al messaggio c’è un file ZIP di nome doc.riservato.zip o documentazione.zip o simili, che l’antivirus non può esaminare perché è uno ZIP protetto da password.

Scompattando il file ZIP con la password fornita nel messaggio (non fatelo), si ottiene un file eseguibile (non un documento Microsoft Office) di nome doc_22_01_06_enrcypted_archive.exe. Su un PC Windows, questo file ha l’icona di Word pur essendo un eseguibile, come potete vedere nell’immagine all’inizio di questo articolo. Molto, molto ingannevole, vero?

Aggiornamento: inizialmente avevo messo nell’immagine anche un’icona di un vero documento Word, ma come notato nei commenti dei lettori (che ringrazio), questo poteva essere fuorviante, perché l’icona vera era quella delle vecchie versioni di Word. Sembrava insomma che ci fosse una differenza visibile fra icona falsa e icona vera, ma non è così.

Al momento in cui scrivo, gli antivirus che ho provato (Kaspersky online e AVG) non riconoscono ancora il file come oggetto pericoloso. Tuttavia, viste le premesse, il file è da considerare altamente sospetto e non va aperto in nessun caso. E’ consigliabile cancellarlo e vuotare il Cestino.

L’attacco è piuttosto insolito e interessante per la sua sofisticazione, visto che per conquistarsi la fiducia della vittima e abbassarne le difese è scritto in buon italiano, usa frasi “unisex” (valide per destinatari di entrambi i sessi) e inoltre usa un mittente noto alla vittima, insieme all’espediente psicologico della preoccupazione per i dati riservati che sarebbero stati trovati in giro.

Attenzione al nuovo virus/video di auguri!

Ne ho già ricevute sull’indirizzo di lavoro, quindi state all’occhio anche voi!

Dal blog di Paolo Attivissimo

Sta circolando una nuova serie di messaggi che tentano di infettare chi li riceve, spacciandosi per e-mail di comuni utenti che segnalano un sito contenente video natalizi divertenti. Ecco alcuni dei testi di questi messaggi-esca:

a natale si è tutti più imbranati
http://www.goodmovieplay.com/video7.html
hehehe ciao tanti a uguri

a natale dovremmo essere tutti più buoni, invece…
http://www.goodmoviesmile.com/video2.html
a presto e auguri anche alla famiglia

scherzetto simpatico…eheheh
http://www.goodmoviesmile.com/video6.html
a presto, vi auguro buone feste

in africa non importa che tu sia leone o gazzella, l’importante è che…
http://www.goodmoviesmile.com/video4.html
a presto, auguri di buone feste e buon anno!

l’idiozia non manca mai nelle persone, soprattutto a natale, no comment
http://www.movie-laugh.com/video5.html
meglio non pensarci
tanti auguroni, ci sentiamo dopo le feste, a presto

Il meccanismo è simile a quello già descritto in un articolo precedente. Visitando il sito, parte automaticamente Windows Media Player, che tenta di visualizzare un videoclip ma produce un messaggio d’errore.

L’utente è così indotto a seguire la raccomandazione del sito, ossia scaricare e installare quelli che il sito chiama “codec aggiornati” ma sono in realtà virus: file eseguibili di nome VideoCodec3_05b_6.exe o simili, situati presso http://www.vcodecget.com/download, sito creato pochissimi giorni fa (il 22 dicembre scorso).

Inviando uno di questi “codec” al sito della Kaspersky, che li analizza gratis in tempo reale, salta fuori che contiene il virus Trojan-Clicker.Win32.Bomka.a.

L’articolo completo è qui

Update 30/12/2005 – Come rimuovere il virus

Credo che ormai gli aggiornamenti dei principali antivirus comprendano anche la rimozione di questo trojan. Per chi non ha antivirus installato (da aggiornare), credo possa essere utile VirIT che si può trovare anche qui.
Altrimento consiglio uno scan con i servizi antivirus on-line, ad esempio:

Cercando sui newsgroup, segnalo anche i consigli di Vincenzo Russo in questo thread. Copio/incollo:

Vedi qui:
sophos.com
virit.com
castlecops.com

Leggi e segui _attentamente_ questo editoriale:
“Spyware e Malware: chi ci spia? – “Fix Rapido”.

Se al termine delle procedure non hai risolto il problema vai qui:
“Spyware e Malware: chi ci spia?”
… e procedi con *tutti* i passi indicati.

Usa anche Ewido security suite
e a-squared (Emsi Software) Free

Vai qui: Windows Live Safety Center – “Clean Up Center
Fai clic su “Clean Up Scan”

I cd Sony Bmg infettano i PC Windows

La notizia gira da un po’ sulla Rete e sta creando non poco imbarazzo alla Sony Bmg: un blogger molto seguito, Mark Russinovich, ha scoperto che la tecnologia anticopia XCP (Extended Copy Protection) utilizzata nei cd Sony Bmg infetta i PC Windows su cui il disco viene ascoltato con un rootkit che non può essere rimosso senza compromettere il sistema. Il software, di cui non si ha traccia alcuna né nella licenza del CD né in altra documentazione (te lo infilano subdolamente), rende il PC su cui si installa vulnerabile ad attacchi esterni e danneggia il funzionamento del masterizzatore.

Per chi volesse approfondire la questione, qui c’è un esauriente articolo di Paolo Attivissimo. Segnalo anche aggiornamenti della vicenda su Punto Informatico di oggi