giovedì 15 dicembre 2011

'Berlusconi non ha potuto nascondere queste foto' Un'altro spam pericoloso (15 dicembre)

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti che distribuiscono eseguibili MALWARE a volte anche poco riconosciuti dai software AV.

Bell'esempio di spam ingannevole attraverso questa attuale mail

relativa a recenti fatti di cronaca con testo ed allegato che tentano di indurre a cliccare sul file mascherato da immagine jpg.

L'archivio zip contiene un file con nome, fake estensione jpg e lunga serie di caratteri underscore che, se la finestra del programma e' dimensionata in maniera ridotta,

nascondono la reale natura di eseguibile exe del file.

Questa invece la finestra del programma con evidenziato l'intero nome del file

Una analisi del file attraverso virus total mostra la natura malevola del file e come successo altre volte qualche differenza tra risposta AV se si analizza il file 'zippato'


od il file estratto


Per quanto si riferisce all'hosting dello zip linkato in mail si tratta di sito compromesso con whois spagnolo

mentre analizzando il file eseguibile

si nota come lo stesso si connetta in rete una volta in 'run' per scaricare un altro codice malevolo

comunque ben rilevato

ed ancora da sito compromesso con whois spagnolo

Interessante anche una analisi degli headers in mail che individuano un unico IP italiano appartenente a Fastweb come probabile source dl messaggio.

Edgar

Nessun commento: