martedì 28 maggio 2013

“Vedere gentilmente la ricevuta allegata per conferma di pagamento”. Nuovamente spam pericoloso con allegato malware.(28 maggio)

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...)
Ritorna lo spam di distribuzione malware ma questa volta con allegato file ZIP attraverso questa mail:


dove notiamo un testo leggermente piu' complesso delle mails ricevute in questi  ultimi mesi (vedi es. questo post) e che proponevano un link a file ZIP e non un allegato al messaggio mail.
Il fatto di allegare il file ZIP contente malware potrebbe avere maggiore efficacia nel tentativo di far aprire ed eseguire il file malevolo (questa volta e' un semplice file SCR) visto che non c'e' niente da 'scaricare' ma basta cliccare sul file ZIP.

Ricordo che l'estensione .SCR (come quella del file presente nello ZIP) e' stata associata da Microsoft a contenuti di Screen Saver ma poiche' il file .SCR e' a tutti gli effetti un eseguibile questo tipo di file e stato usato, specialmente in passato, come mezzo di diffusione di virus informatici.

Da non sottovalutare anche il fatto che il file SCR proponga una icona tipica dei files in formato PDF.


Anche se a prima vista si potrebbe obiettare che il file e' ben distinguibile da un reale PDF vista al sua estensione SCR, c'e' da ricordare che su molti PC con Windows installato l'opzione che nasconde le estensioni di file per files noti, e' attiva (di solito e' impostata cosi' di default al momento dell'installazione di Windows).


Ecco quindi come potrebbe presentarsi il file estratto dallo ZIP quando salvato su disco.


In effetti al momento dell'apertura dello ZIP l'estensione SCR e' comunque ben visibile ma potrebbe anche passare inosservata.


Come sempre al momento della comparsa online delle mails il contenuto del file malware era poco visto'


mentre attualmente siamo a circa la meta' dei softwares in VT che rilevano la minaccia, 


con


anche se alcuni noti antivirus, vedi es . Microsoft, parrebbero non rilevare il codice come pericoloso. (tenendo sempre conto dei limiti di una scansione ON-line ON-demand come quella di VT).

Una analisi Anubis mostra che il trojan tenta di connettersi a 


cosa confermata anche da Sophos


E' cosa normale che un codice malware contatti un server remoto per scaricare  ulteriori codice malevoli oppure inviare quanto lo stesso trojan puo' aver acquisito come dati sensibili sul PC colpito, ecc.....

Edgar

Nessun commento: