Uno studio legale ci denuncia? Trojan Spambot

November 30th, 2006 by Marco Leave a reply »

Questa mattina molti italiani hanno ricevuto, o stanno ricevendo, una sedicente e-mail nella quale vengono intimati da un sedicente studio legale di smettere di inviare worm altrimenti verranno denunciati. L’e-mail, che recita più o meno queste parole:


Gentile utente ,

sono l’avvocato Gianluca Gentili proprietario dell’omonimo studio Legale,
mi trovo costretto a riscriverle perchè continuano ad arrivarmi
dal suo indirizzo di posta elettronica
messaggi dal contenuto esplicito.
La rimando a tal proposito a verificare l’ultimo arrivato,
che riporto sotto a questo messaggio.

Non sono un esperto in materia, tuttavia il sistemista del nostro
studio sostiene che questi invii da parte sua sono probabilmente
involontari e causati da un virus informatico.
Dice inoltre che è possibile rimuovere questo worm con il programma antivirus
scaricabile dall’indirizzo .

Io non ho nè le competenze nè il tempo per verificare l’esattezza
di questa teoria, purtroppo mi trovo cosgretto a DIFFIDARLA dal
continuare questi invii non sollecitati alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò
a denunciarla senza ulteriore avviso.

Sospenda questi invii o, se si tratta di un virus worm,
ripulisca il suo computer al più presto perchè forse
non sono l’unico che sta ricevendo questa immondizia da lei.

Le ricordo che i reparti di polizia informatica hanno i mezzi
per risalire alla vera identità del proprietario di
un indirizzo email, per quanto registrato con dati inventati o
internazionale. Per cui non creda di poter continuare
a inquinare la mia casella email con queste promozioni.

in attesa di un suo cortese riscontro,
saluti cordiali

L’e-mail invita l’utente a scaricare un tool di rimozione collegandosi al sito notmorespyware.biz (il sito è ancora attivo, è sconsigliabile collegarsi all’indirizzo qui citato!). Il sito, che espone numerosi riconoscimenti a livello nazionale e internazionale, invita l’utente a scaricare il removal_tool.exe. Esistono altri link attivi, tra i quali TenKillerDirect.biz.

Il file, tuttavia, non è altro che un trojan.spambot che installa un BHO, una libreria dinamica all’interno della directory di sistema di Windows:
C:\WINDOWS\system32\webdesk.dll
.

Prevx1 è aggiornato da questa mattina per la prevenzione, l’individuazione e la rimozione di questa infezione. Gli utenti di Prevx1 sono quindi attualmente protetti.

Per chi non utilizza Prevx1, l’ottimo Paolo Monti di Future Time ha creato un cleaner per la rimozione automatica di questo trojan. Il cleaner può essere scaricato a questo indirizzo.

Per eventuali aggiornamenti modificherò direttamente questa news aggiungendo altre informazioni.

*** UPDATE ***

Mi scuso per gli aggiornamenti sporadici – anzi praticamente quasi nulli – ma torno su questa infezione ogni quando ho un minuto di tempo libero e durante questi giorni sto dormendo 2/3 ore a notte – il che lascia immaginare il tempo libero che ho.

Removal_tool.exe è compresso con UPX e modificato per evitarne una decompressione diretta. Una volta lanciato, il trojan controlla se l’account e-mail presente nel pc che si sta infettando contiene una delle seguenti stringhe nel dominio:

police.it
poliziadistato.it
polizia-penitenziaria.it
polstrada.it
poliziamunicipale.it
polmunicipalemartina.it
munipol.it
polizia.it
carabinieri.it
carabinieri-bellinzona.com
carabinieri.net
interno.it
uilinterno.it
mininterno.it
nsd.it
admi.it
concorsi.it
esteri.it
codacons.it
punto-informatico.it
clusit.it
criminologia.org
diritto.it
agcom.it
attivissimo.net
serviziinformazionesicurezza.gov.it
sisde.it
governo.it
palazzochigi.it

In caso il controllo sia positivo, il trojan non prosegue nell’installazione della dll webdesk.dll. In caso negativo, la dll viene installata nel sistema e viene registrata come BHO, iniettata al successivo riavvio in explorer.exe. La dll è integrata nel removal_tool.exe, in una parte del codice del trojan ed è anch’essa compressa con UPX. Una volta effettuato questo controllo – sia stata la dll installata oppure no – il trojan mostra una schermata dal titolo Virus Killer 5.1 e dal messaggio: Avviare la scansione virus?. Se si clicca su Sì, il programma va in attesa per 5000ms, dopo i quali darà come risultato o
Non sono stati rilevati virus
o
Sono stati rimossi i seguenti virus: Evil mailer 1.0.87.

Per successivi aggiornamenti appena ho un altro minuto libero, scusate :(

*** UPDATE ***

Un’analisi più approfondita è disponibile QUI

-------------

Post correlati:

  1. Trojan.Spambot, terza variante
  2. Alcuni pensieri su Trojan.Spambot
Advertisement

19 comments

  1. Luca Carrera says:

    Un altro sito indicato in questo tipo di email è:
    http://www.pc-protector.biz

    Anche questo è attivo e pubblica il medesimo removal_tool.exe.

    Luca

  2. francesco says:

    cleanyourpc.biz
    personalspywareremover.biz
    watchwareassassin.biz

  3. Ufo says:

    altro sito attivo:
    http://www.1st-In-SpyWare-Killer.biz
    sta mail è arrivata pure a me

  4. Marco says:

    @francesco:

    ho editato i link per evitare il link completo all’exe :) Scusa se te l’ho approvato in ritardo, ma non mi ero accorto del commento in attesa :)

  5. Luciano says:

    I link sono ancora attivi, anzi attivissimi !

  6. maverick says:

    Tutti questi domini puntano ad un solo IP

    89.104.112.80

    Il nostri soliti cari amici russi

    inetnum: 89.104.112.0 – 89.104.115.255
    netname: SMART
    descr: SMART LTD
    country: RU
    admin-c: MVS69-RIPE
    tech-c: MVS69-RIPE
    remarks: Points of contact for SMART NOC
    remarks: ———————————————————-
    remarks: Routing and peering issues: Whois Privacy and Spam Prevention by DomainTools.com
    remarks: SPAM and Network security issues: Whois Privacy and Spam Prevention by DomainTools.com
    remarks: Customer support: Whois Privacy and Spam Prevention by DomainTools.com
    remarks: ———————————————————-
    status: ASSIGNED PA
    mnt-by: UNNET-MNT
    mnt-domains: MSMART-MNT
    source: RIPE # Filtered

    person: Mezenin Vyacheslav Sergeevich
    address: Kulturi pr. 44
    address: Saint-Petersburg, Russia
    phone: +7 812 592 13 05
    e-mail: Whois Privacy and Spam Prevention by DomainTools.com
    nic-hdl: MVS69-RIPE
    source: RIPE # Filtered

  7. TNT says:

    Sono irraggiungibili se non con un IP italiano… e’ il trend del momento…

  8. Marco says:

    esatto :)

  9. tony says:

    Una email analoga è arrivata anche a me

    Sito ancora attivo:

    http://www.privacywall.biz

  10. Massimo says:

    anche a me un’email con il link per wwww.privaciwall.biz …

  11. stefano says:

    anche a me un’email dall’avvocato Erich di Lecce con il link http://www.spystuffkiller.com/

  12. Silvia says:

    è arrivato anche a me!!!
    il link è nowimprotected.com e arriva da un certo avvocato francesco gorg…
    come mai tutti o quasi arrivano dalla stessa via di Bologna????

  13. Oriana says:

    L’eemail è arrivata anche a me e mi sono fatta proprio fregare… Sono stata davvero troppo ingenua, ma era davvero ben camuffata la cosa… L’avvocato si chiamava Fabio Macha ed era di Firenze (via rossi).
    Ho provato la scansione con prevx e con il tool di nod32, ma il pc è ancora infetto e addirittura appena provo ad accedere alle cartelle o a IE, si spegne. Tutto ok per le applicazioni e per altri browser come Mozilla.
    Temo di dover formattare, perchè non sono riuscita a risolvere questi problemi. Sapreste indicarmi una possibile soluzione?
    Grazie.
    Oriana

  14. Oriana says:

    Niente “format c:”. Ho distrutto lo spambot rimuovendo una cartella di registro che si era insidiata come Browser Helper di Internet Explorer, chiamata BHO. Tutto funziona correttamente adesso.

  15. fabri says:

    Ecco un altro pollo! Il mio avvocato di chiama mattia timpe dell’ omonimo studio legale con sede in via magenta 81 di non si sà quale città.
    Infatti quest’ultima particolarità avrebbe dovuto farmi riflettere sulla veridicità della mail ma così non è stato. Ci sono cascato con tutte le scarpe. Visibilmente però, il mio pc funziona regolarmente. Qualcuno mi indica come fare ad entrare nelle cartelle di windows e rimuovere questo benedetto webdesk.dll o bho? O forse esiste un sito attendibile per scaricare qualche antivirus valido ed efficace? Grazie

  16. Gemma says:

    eh si che dire…. mi brucia ma ci sono cascata anch’io… con tutto che un sottile dubbio mi era venuto…. sigh…. cosa fare per rimuovere tutto?

Leave a Reply