Virus fenomenale

Magnetic_dud · Aprile 06, 2006, 18:54:25

Ho ricevuto la seguente email:

Citazione
Subject: FW:FW: truffa vergognosa sotto i nostri occhi

ho appena trovato questo video in un blog, che ne dite?
[firmato col Nome reale del mittente!!!]

e in allegato c'è un video di windows media player.
Siccome il mittente lo conosco bene, ho aperto l'allegato.
Purtroppo è venuta fuori una finestra con:

Siccome io ho ancora windows media player vecchio e non ci penso nemmeno ad aggiornare (la mia versione ha un bug FENOMENALE che permette di rimuovere i DRM dai file wma/wmv

), ho ignorato il messaggio e ho aperto il file censurato_tv.asx con un hex editor allo scopo di prendere il link al file video bypassando il version check

Cosa?
ecco il contenuto:

Codice Seleziona


 
  Impossibile Trovare il Codec
  
  
  
   Clicca qui per scaricare i codec aggiornati

... dov'è il video?

Ecco qui la truffa!
Il file che viene scaricato è un trojan che ti keylogga!
State attenti!
Googlando ho visto che esistono truffe simili su siti web.
Ovviamente se hexeditate il trojan vedete che esistono molti tipi diversi di email precompilati... quindi l'unico modo è essere paranoici

Hayao Miyazaki · Aprile 06, 2006, 21:23:51

sei stato infettato? se si, sei riuscito a risolvere?

Magnetic_dud · Aprile 07, 2006, 01:36:59

Ovviamente non sono stato infettato.
Per fortuna io sono sempre restio ad installare i programmi/aggiornamenti ^_^
Però questa volta c'ero QUASI cascato (di solito i virus sono in inglese)
ecco ma... non si potrebbe arrestare il proprietario di vcodecget.net

Cosa aspetta la polizia???
ecco il risultato del whois:
Antonella Pizzicoli
antpizzicoli@yahoo.com
Via Bonifacio Lupi 7
Florence, Florence Florence IT
055231881
il numero di tel è inventato.
La via esiste... (io son di firenze)
cmq è difficile che una ragazza inventi un virus del genere (sono maschilista)

Secondo il security centre di symantec questo virus va a cercare codici di accesso per banche online :brucelee:

edit: italiano migliore+info whois

mentz · Aprile 07, 2006, 08:38:34

Minchia che bel raggiro....

Lui ti fa credere che non hai i codec e poi sul more info ti scarica il virus...

Però è possibile che con wmp10 queste cose non riescano più ad accadere....

E' per quello che servono gli aggiornamenti....
(ovviamente mi riferisco a quelli "sicuri" derivati SOLO dal sito della software house...)

Questa tipa di questo sito la puoi denunciare al provider che la ospita...
dicendogli che usa il sito come mezzo per diffondere un virus che va a cercare i codici delle banche on -line....

Magnetic_dud · Aprile 07, 2006, 10:40:50

boh prova.
copi il codice su blocco note e lo rinomini come *.asx
io non metterò wmp10 nemmeno se la microsoft mi ecoincentiva
(tanto il 90% delle patch sono per migliorare la protezione sui DRM)

edit: da bravo lamer ho telefonato alla polposta allo 055-784863 ma loro mi hanno detto che non faranno NESSUN controllo se io non vo a perdere una mattinata in questura a fare la denuncia.. ma mai!

|GeO| · Aprile 07, 2006, 17:53:12

Ma pensa te... Mi fosse arrivato da un mio amico molto probabilmente l'avrei aperto...

yuumeikai · Aprile 07, 2006, 23:27:59

Ma mail del genere non vanno mai aperte.
C'è stato un periodo in cui mi arrivavamo 2/3 mail a settimana dall'indirizzo email di Clomax e da non-ricordo-chi dello staff con tanto messaggio in italiano ed allegati. Le mail naturalmente non le inviava CLomax (o sì? Bastardo!

), bensì qualcuno, o qualcosa, molto probabilmente, che leggendo dalla rubrica di Outlook di Clomax (o il programma di posta che usa) era riuscito a trovare il mio indirizzo (e tutti gli altri presenti nella rubrica) ed a inviare fake-mail. E gli allegati erano i soliti troyan che girano per la rete.

Non vi fidate mai. Anche se gli indirizzi son dei vostri amici non vuol dire che l'allegato sia stato inviato realmente da loro, tutt'altro. Contattate i vostri amici prima di aprire allegati di cui non siete al corrente o prendete accordi comuni (tipo scrivere a fine messaggio una cosa come 00ALLEGATO00STAI00TRANQUILLO00SON00IO00COJONE00 per stare sicuri :rolleyes:).

Magnetic_dud · Aprile 08, 2006, 01:23:04

vabbè ma l'email era firmata con il nome vero del mio amico!
ed era in italiano
non era per niente losca
congratulations al programmatore che ora starà vuotando numerosi conti bancari :angry:

edit: senza contare che un file *.asx non è affatto losco (almeno fino ad ora

)

edit2:
Aggiornamento della protezione per il plug-in di Windows Media Player (KB911564)
Dimensioni download: 604 KB
È stato individuato un problema di protezione che potrebbe consentire a chi effettua un attacco di danneggiare in remoto sistemi basati su Windows utilizzando il plug-in di Windows Media Player e di ottenere il controllo su di essi. Installando questo aggiornamento fornito da Microsoft sarà possibile proteggere il computer.

che questo eviti il problema? uhm

Magnetic_dud · Aprile 28, 2006, 19:40:20

Il virus s'è raffinato!

Oggi ho ricevuto:

CitazioneGentile utente [utente],

La mail inviata dall'account [utente]@email.it non è stata inoltrata per motivi tecnici.

Per conoscere i dettagli scegliere il pulsante Dettagli

Il pulsante Dettagli in realtà è un collegamento a:
http://www.ciritorno.biz/server/index.html

il quale SIMULA una pagina di errore che ti induce a scaricare:
http://www.ciritorno.biz/server/Message.exe
che è un trojan, o ancora peggio un dialer...