Circa una settimana fa segnalavo in rete un massiccio invio di mails di spam con link files in formato zip contenenti malware
Si trattava di messaggi email in italiano e link a siti compromessi, quasi tutti su dominio IT ma differenti hosters che proponevano il download del ben noto file zip contenente fake .doc o .pdf ma in realta' eseguibile con doppia estensione camuffato da lunga serie di caratteri underscore nel nome del file (screenshot attuale)
![](http://3.bp.blogspot.com/-RhjI5HgT7nM/T0tpf9nq0gI/AAAAAAAAoXk/LR5DPOHFLNw/s320/unzippa.jpg)
A partire da questa mattina (ora thai ( - 6 ore per l'Italia)) monitorando alcune mailing list italiane si vedeva la nuova comparsa di spam con una grande varieta' di messaggi e link a file zip.
Ecco alcuni esempi:
![](http://4.bp.blogspot.com/-a95HKgkn7wY/T0to6VZhGII/AAAAAAAAoWc/hAGjjCUpPiI/s320/mail%2B3%2B%2Binfo%2Bzip%2B2012-02-27_173029.jpg)
![](http://2.bp.blogspot.com/-ODnZ5VUQeHI/T0to6Gpg1gI/AAAAAAAAoWQ/0FioSDggDCo/s320/mail%2B2%2B%2Binfo%2Bzip%2B2012-02-27_173029.jpg)
![](http://4.bp.blogspot.com/-J6X08f_nwWY/T0to59k_65I/AAAAAAAAoWE/oPt9hO4KE7g/s320/mail%2B1%2B%2Binfo%2Bzip%2B2012-02-27_173029.jpg)
![](http://4.bp.blogspot.com/-Ofu7iiKH8io/T0to65kXORI/AAAAAAAAoW0/3L95QjNtgS8/s320/testi.jpg)
![](http://3.bp.blogspot.com/-theWcFVKegs/T0to6qdjVeI/AAAAAAAAoWk/6B8R7yOyBI0/s320/mail%2B4%2Binvoice%2B%2Bzip%2B2012-02-27_173029.jpg)
![](http://4.bp.blogspot.com/-92OC3KaV_a8/T0tpfWWJEQI/AAAAAAAAoXA/Y4gblJ-kUU4/s320/altro%2Bmailin%2Blungo.jpg)
Sia l'oggetto del messaggio in lingua italiana, ma anche il percorso al file zip sul sito compromesso che presenta un subfolder ../IT/... fanno pensare che si tratti di spam diretto ad utenti IT.
Da notare che una analisi VT degli allegati a queste mails dal lungo messaggio in inglese mostra un estremamente basso riconoscimento del malware
![](http://1.bp.blogspot.com/-ibSRA_oqTXo/T0tpfrMJXJI/AAAAAAAAoXU/S-UQSQ_jpxc/s320/invoice%2Bvt.jpg)
![](http://4.bp.blogspot.com/-XU5Zs5IAikk/T0tpfn5c0kI/AAAAAAAAoXI/ktaiWkD-fRo/s320/info%2Bzip%2Bvt.jpg)
Nessun commento:
Posta un commento