Questa mattina molti italiani hanno ricevuto, o stanno ricevendo, una sedicente e-mail nella quale vengono intimati da un sedicente studio legale di smettere di inviare worm altrimenti verranno denunciati. L’e-mail, che recita più o meno queste parole:
Gentile utente, sono l’avvocato Gianluca Gentili proprietario dell’omonimo studio Legale,
mi trovo costretto a riscriverle perchè continuano ad arrivarmi
dal suo indirizzo di posta elettronica
messaggi dal contenuto esplicito.
La rimando a tal proposito a verificare l’ultimo arrivato,
che riporto sotto a questo messaggio.Non sono un esperto in materia, tuttavia il sistemista del nostro
studio sostiene che questi invii da parte sua sono probabilmente
involontari e causati da un virus informatico.
Dice inoltre che è possibile rimuovere questo worm con il programma antivirus
scaricabile dall’indirizzo. Io non ho nè le competenze nè il tempo per verificare l’esattezza
di questa teoria, purtroppo mi trovo cosgretto a DIFFIDARLA dal
continuare questi invii non sollecitati alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò
a denunciarla senza ulteriore avviso.Sospenda questi invii o, se si tratta di un virus worm,
ripulisca il suo computer al più presto perchè forse
non sono l’unico che sta ricevendo questa immondizia da lei.Le ricordo che i reparti di polizia informatica hanno i mezzi
per risalire alla vera identità del proprietario di
un indirizzo email, per quanto registrato con dati inventati o
internazionale. Per cui non creda di poter continuare
a inquinare la mia casella email con queste promozioni.in attesa di un suo cortese riscontro,
saluti cordiali
L’e-mail invita l’utente a scaricare un tool di rimozione collegandosi al sito notmorespyware.biz (il sito è ancora attivo, è sconsigliabile collegarsi all’indirizzo qui citato!). Il sito, che espone numerosi riconoscimenti a livello nazionale e internazionale, invita l’utente a scaricare il removal_tool.exe. Esistono altri link attivi, tra i quali TenKillerDirect.biz.
Il file, tuttavia, non è altro che un trojan.spambot che installa un BHO, una libreria dinamica all’interno della directory di sistema di Windows:
C:\WINDOWS\system32\webdesk.dll.
Prevx1 è aggiornato da questa mattina per la prevenzione, l’individuazione e la rimozione di questa infezione. Gli utenti di Prevx1 sono quindi attualmente protetti.
Per chi non utilizza Prevx1, l’ottimo Paolo Monti di Future Time ha creato un cleaner per la rimozione automatica di questo trojan. Il cleaner può essere scaricato a questo indirizzo.
Per eventuali aggiornamenti modificherò direttamente questa news aggiungendo altre informazioni.
*** UPDATE ***
Mi scuso per gli aggiornamenti sporadici – anzi praticamente quasi nulli – ma torno su questa infezione ogni quando ho un minuto di tempo libero e durante questi giorni sto dormendo 2/3 ore a notte – il che lascia immaginare il tempo libero che ho.
Removal_tool.exe è compresso con UPX e modificato per evitarne una decompressione diretta. Una volta lanciato, il trojan controlla se l’account e-mail presente nel pc che si sta infettando contiene una delle seguenti stringhe nel dominio:
police.it
poliziadistato.it
polizia-penitenziaria.it
polstrada.it
poliziamunicipale.it
polmunicipalemartina.it
munipol.it
polizia.it
carabinieri.it
carabinieri-bellinzona.com
carabinieri.net
interno.it
uilinterno.it
mininterno.it
nsd.it
admi.it
concorsi.it
esteri.it
codacons.it
punto-informatico.it
clusit.it
criminologia.org
diritto.it
agcom.it
attivissimo.net
serviziinformazionesicurezza.gov.it
sisde.it
governo.it
palazzochigi.it
In caso il controllo sia positivo, il trojan non prosegue nell’installazione della dll webdesk.dll. In caso negativo, la dll viene installata nel sistema e viene registrata come BHO, iniettata al successivo riavvio in explorer.exe. La dll è integrata nel removal_tool.exe, in una parte del codice del trojan ed è anch’essa compressa con UPX. Una volta effettuato questo controllo – sia stata la dll installata oppure no – il trojan mostra una schermata dal titolo Virus Killer 5.1 e dal messaggio: Avviare la scansione virus?. Se si clicca su Sì, il programma va in attesa per 5000ms, dopo i quali darà come risultato o
Non sono stati rilevati virus
o
Sono stati rimossi i seguenti virus: Evil mailer 1.0.87.
Per successivi aggiornamenti appena ho un altro minuto libero, scusate 
*** UPDATE ***
Un’analisi più approfondita è disponibile QUI
-------------
Post correlati:
Un altro sito indicato in questo tipo di email è:
http://www.pc-protector.biz
Anche questo è attivo e pubblica il medesimo removal_tool.exe.
Luca
cleanyourpc.biz
personalspywareremover.biz
watchwareassassin.biz
altro sito attivo:
http://www.1st-In-SpyWare-Killer.biz
sta mail è arrivata pure a me
@francesco:
ho editato i link per evitare il link completo all’exe
Scusa se te l’ho approvato in ritardo, ma non mi ero accorto del commento in attesa 
I link sono ancora attivi, anzi attivissimi !
Tutti questi domini puntano ad un solo IP
89.104.112.80
Il nostri soliti cari amici russi
inetnum: 89.104.112.0 – 89.104.115.255
netname: SMART
descr: SMART LTD
country: RU
admin-c: MVS69-RIPE
tech-c: MVS69-RIPE
remarks: Points of contact for SMART NOC
remarks: ———————————————————-
remarks: Routing and peering issues: Whois Privacy and Spam Prevention by DomainTools.com
remarks: SPAM and Network security issues: Whois Privacy and Spam Prevention by DomainTools.com
remarks: Customer support: Whois Privacy and Spam Prevention by DomainTools.com
remarks: ———————————————————-
status: ASSIGNED PA
mnt-by: UNNET-MNT
mnt-domains: MSMART-MNT
source: RIPE # Filtered
person: Mezenin Vyacheslav Sergeevich
address: Kulturi pr. 44
address: Saint-Petersburg, Russia
phone: +7 812 592 13 05
e-mail: Whois Privacy and Spam Prevention by DomainTools.com
nic-hdl: MVS69-RIPE
source: RIPE # Filtered
Sono irraggiungibili se non con un IP italiano… e’ il trend del momento…
esatto
Una email analoga è arrivata anche a me
Sito ancora attivo:
http://www.privacywall.biz
anche a me un’email con il link per wwww.privaciwall.biz …
anche a me un’email dall’avvocato Erich di Lecce con il link http://www.spystuffkiller.com/
è arrivato anche a me!!!
il link è nowimprotected.com e arriva da un certo avvocato francesco gorg…
come mai tutti o quasi arrivano dalla stessa via di Bologna????
L’eemail è arrivata anche a me e mi sono fatta proprio fregare… Sono stata davvero troppo ingenua, ma era davvero ben camuffata la cosa… L’avvocato si chiamava Fabio Macha ed era di Firenze (via rossi).
Ho provato la scansione con prevx e con il tool di nod32, ma il pc è ancora infetto e addirittura appena provo ad accedere alle cartelle o a IE, si spegne. Tutto ok per le applicazioni e per altri browser come Mozilla.
Temo di dover formattare, perchè non sono riuscita a risolvere questi problemi. Sapreste indicarmi una possibile soluzione?
Grazie.
Oriana
Niente “format c:”. Ho distrutto lo spambot rimuovendo una cartella di registro che si era insidiata come Browser Helper di Internet Explorer, chiamata BHO. Tutto funziona correttamente adesso.
Ecco un altro pollo! Il mio avvocato di chiama mattia timpe dell’ omonimo studio legale con sede in via magenta 81 di non si sà quale città.
Infatti quest’ultima particolarità avrebbe dovuto farmi riflettere sulla veridicità della mail ma così non è stato. Ci sono cascato con tutte le scarpe. Visibilmente però, il mio pc funziona regolarmente. Qualcuno mi indica come fare ad entrare nelle cartelle di windows e rimuovere questo benedetto webdesk.dll o bho? O forse esiste un sito attendibile per scaricare qualche antivirus valido ed efficace? Grazie
eh si che dire…. mi brucia ma ci sono cascata anch’io… con tutto che un sottile dubbio mi era venuto…. sigh…. cosa fare per rimuovere tutto?