Ormai da meta' del 2011, siamo abituati a vedere un particolare spam malware che, ad intervalli abbastanza regolari di qualche settima, torna ad essere presente in rete.
E' infatti nuovamente attiva da qualche ora una nuova distribuzione di mail si spam con presenza di link a malware.(link a file zip contenente eseguibile pericoloso)
Monitorando alcune mailing list italiane e' possibile rilevare attualmente, una serie di messaggi mail come vediamo da questi screenshots
E' infatti nuovamente attiva da qualche ora una nuova distribuzione di mail si spam con presenza di link a malware.(link a file zip contenente eseguibile pericoloso)
Monitorando alcune mailing list italiane e' possibile rilevare attualmente, una serie di messaggi mail come vediamo da questi screenshots
Si tratta di messaggi mail dal layout gia' visto parecchie volte in passato e che presentano link a file zip ospitato su alcuni siti IT compromessi.
Da notare che ritorna nel testo di alcuni messaggi un riferimento a “Monte BIZ” , cosa gia' rilevata a meta' agosto dello scorso anno.
Il sistema utilizzato per mascherare l'eseguibile malware e' il consueto uso di una lunga sequenza di caratteri underscore che, se la visualizzazione del nome del file avviene in finestra o colonna di dimensioni ridotte, non permette di osservare la reale estensione .exe del file.
Da notare che ritorna nel testo di alcuni messaggi un riferimento a “Monte BIZ” , cosa gia' rilevata a meta' agosto dello scorso anno.
Il sistema utilizzato per mascherare l'eseguibile malware e' il consueto uso di una lunga sequenza di caratteri underscore che, se la visualizzazione del nome del file avviene in finestra o colonna di dimensioni ridotte, non permette di osservare la reale estensione .exe del file.
Come altre volte i siti compromessi che ospitano il malware si trovano su differenti IP di hosters IT senza che ci sia una particolare evidenza di un hoster piu' colpito di altri.
Ecco alcuni IP rilevati
eEcco alcuni IP rilevati
Il file eseguibile mostra come sempre un riconoscimento che, almeno nelle prime ore dall'inizio dello spam , vede una percentuale abbastanza bassa di positivi.
Considerato anche che, come visto, alcuni software Av potrebbero non riconoscere il malware, vale in questi casi la regola ben nota di evitare di seguire links in mails di dubbia provenienza e contenuti, ed , in ogni caso, di evitare il download ed il 'run' sul PC di files di cui non si e' assolutamente certi del loro contenuto.
In aggiunta a questo, una scansione del fake doc o pdf, con Virus Total, anche se non dara' la certezza assoluta sui contenuti pericolosi, potra' comunque rivelare, nella maggior parte dei casi, almeno qualche software Av che individua il file come di dubbia affidabilita' e quindi da non eseguire.
Edgar
Nessun commento:
Posta un commento