Strano minispam virale

Strano minispam virale

A partire dalle prime ore di oggi (07.12.05), un curioso mini-messaggio sta riempiendo caselle di posta, mailing list e forum della Rete italiana. Eccone alcuni esempi segnalatimi dai lettori:

ciao a tutti,
[http://www.funnymoviesgallerie.com/72364/]
guardate quello dei gatti! :-)

ciao a tutti,
ho trovato dei filmati veramente simpatici, soprattutto il secondo!!
[http://www.funnymoviesgallerie.com/72364/]

da morire!!!!! guardate gli ultimi due!!
[http://www.funnymoviesgallerie.com/72364/]

Il mittente cambia nei vari messaggi e probabilmente è stato falsificato, oppure il messaggio è stato effettivamente spedito dalla casella di posta dalla quale dichiara di provenire, ma a insaputa dell'utente: in almeno un caso, infatti, l'indirizzo IP del mittente apparente coincide con quello effettivo dell'indirizzo di e-mail.

Il messaggio è privo di link-trappola (è in testo semplice, senza codici HTML che nascondono link mascherati) e privo di allegati che possano trasportare virus.

A prima vista, il sito citato nel messaggio presenta semplicemente una collezione di video e non sembra contenere codice ostile che possa iniettare virus o altre porcherie (ma è comunque opportuna molta prudenza nel visitarlo). L'unica particolarità è che digitando il nome del sito, senza la sottodirectory /72364/, si viene comunque rediretti a questa sottodirectory.

Tuttavia sembra che il sito nasconda una trappola: i video non si scaricano correttamente, e il sito reca la dicitura "se hai problemi a visualizzare i video devi aggiornare i codec di Windows Media Player. Puoi trovare i codec più aggiornati su VcodecDownload".

La dicitura linka a http://vcodecdownload.com/2, che sembra offrire dei programmi da scaricare (per Windows). Il sito dice che sono codec che consentirebbero a Windows Media Player di visualizzare i video, ma è sempre molto pericoloso scaricare programmi da siti sconosciuti e di dubbia affidabilità.

È molto sospetto che il sito dei video e il sito dei codec siano entrambi intestati alla stessa persona ..seguono altri dati. Ci sono anche altri dati contraddittori.

Inoltre la data di registrazione dei siti è recentissima (il 2 dicembre scorso) e la registrazione vale un solo anno: tipici segni di uno spammer o di un truffatore.

A giudicare dalla qualità dell'italiano usato, e dal fatto che lo spam e il sito sono in italiano, sembra che si tratti di uno spam destinato specificamente agli italofoni.

Il probabile meccanismo di attacco è questo: un utente riceve il messaggio di spam e, incuriosito, visita il sito dei filmati. Cerca di vederli e non ci riesce, e così segue il consiglio del sito: va all'altro sito, quello che ospita i "codec", e li scarica e installa, credendo che siano innocue aggiunte a Windows Media Player, mentre sono in realtà virus che infettano il suo PC Windows e lo trasformano in disseminatore di spam.

Al momento questa è un'ipotesi non verificata ma basata sulle circostanze: non ho a disposizione una macchina Windows sacrificabile sulla quale confermare la probabile natura virale di questi "codec" altamente sospetti: se qualcuno ce l'ha, può segnalare nei commenti i risultati dell'installazione del software scaricato.

Mi associo ai commenti già arrivati consigliando vivamente a chiunque abbia scaricato e installato questi "codec" di eseguire subito una pulizia antivirus usando un antivirus aggiornato. Va detto, tuttavia, che l'attacco è talmente recente che gli antivirus potrebbero non riconoscere l'infezione (AVG, per esempio, per ora non rileva pericoli), per cui conviene ripetere il controllo antivirus anche fra un paio di giorni, quando gli antivirus saranno stati aggiornati.

Ciao da Paolo.



...news tratta da (www.attivissimo.net) (C) 2005 by Paolo Attivissimo