|
Attenzione alle email con allegato di tipo "asx" L'esperienza e le attività svolte dall'associazione che presiedo, ci inducono sempre a vigilare e controllare tutte le email che riceviamo. Durante i corsi che svolgiamo in aula informatica invitiamo sempre gli studenti a vigilare e controllare tutte le email che pervengono in quanto lo spamming e le truffe sono all’ordine del giorno. Anche noi ovviamente non siamo esenti da simili eventi che quotidianamente minano la sicurezza e la privacy di ogni utente informatico. A questa associazione è giunta oggi un’email ingannevole poiché il presunto mittente "m.allegro@procura.vicenza.it" poteva far credere che fosse la Procura di Vicenza l’autorevole fonte di provenienza. Sappiamo che i presunti mittenti di email ingannevoli usano sempre nomi diversi, che l’oggetto dell’email assume sempre connotazioni diverse così come il nome del file. Analizzata l’email giunta oggi con un allegato, abbiamo scoperto un file con estensione .asx ( filmato.asx). che a prima vista potrebbe sembrare un comune file video. In realtà si tratta di un Trojan.Spambot che ieri ha tentato di diffondersi nelle e-mail degli italiani con messaggi e nomi file sempre diversi per accattivare l’attenzione dei destinatari, ma oggi è di nuovo online su un altro server. Se apriamo quel file allegato risulta particolarmente ingannevole “l’invito” a scaricare il codec per windows media player che “sembra” un’opzione automatica del sistema microsoft per scaricare il codec necessario per la visualizzare questi tipi di files.
In realtà da quel link viene scaricato un file eseguibile che installa nel proprio pc invece del codec un malware. Con il termine malware si identificano tutti quei programmi realizzati al solo scopo di creare danni all’interno di un sistema informatico. In questa categoria rientrano i virus, trojan, backdoor, worms. Se installato, il trojan mostra una messagebox come quella mostrata qui sotto:
Analizzato tecnicamente, il malware è esattamente parte della famiglia del vecchio Trojan.Spambot italiano, trojan.spambot che installa un BHO, una libreria dinamica all’interno della directory di sistema di Windows. Il codice, migliorato da edizioni simili più datate è stato ritoccato per eludere le protezioni dei software antivirus. Le chiavi del registro
di sistema di windows che crea risultano essere queste: HKEY_CLASSES_ROOT\CLSID\{AD42064f-2C53-CB42-1263-6A7F24C2B819} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Per la rimozione è sufficiente chiudere - se aperto - Internet Explorer ed eliminare il file C:\WINDOWS\system32\webdesk.dll ed eliminare le chiavi di registro sopra elencate. Probabilmente in questi giorni assisteremo ad un’invasione di massa di questo trojan con nuove varianti giornaliere. Risulta essere particolarmente insidiosa e subdola nelle intenzioni questa email in particolare se si pensa agli effetti che può causare in destinatari poco esperti come sono la maggioranza degli utilizzatori di posta elettronica, minori compresi. Associazione S.o.s. Infanzia Onlus Vicenza Il presidente
|
