Uno studio legale ci denuncia? Trojan Spambot

Questa mattina molti italiani hanno ricevuto, o stanno ricevendo, una sedicente e-mail nella quale vengono intimati da un sedicente studio legale di smettere di inviare worm altrimenti verranno denunciati. L’e-mail, che recita più o meno queste parole:


Gentile utente ,

sono l’avvocato Gianluca Gentili proprietario dell’omonimo studio Legale,
mi trovo costretto a riscriverle perchè continuano ad arrivarmi
dal suo indirizzo di posta elettronica
messaggi dal contenuto esplicito.
La rimando a tal proposito a verificare l’ultimo arrivato,
che riporto sotto a questo messaggio.

Non sono un esperto in materia, tuttavia il sistemista del nostro
studio sostiene che questi invii da parte sua sono probabilmente
involontari e causati da un virus informatico.
Dice inoltre che è possibile rimuovere questo worm con il programma antivirus
scaricabile dall’indirizzo .

Io non ho nè le competenze nè il tempo per verificare l’esattezza
di questa teoria, purtroppo mi trovo cosgretto a DIFFIDARLA dal
continuare questi invii non sollecitati alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò
a denunciarla senza ulteriore avviso.

Sospenda questi invii o, se si tratta di un virus worm,
ripulisca il suo computer al più presto perchè forse
non sono l’unico che sta ricevendo questa immondizia da lei.

Le ricordo che i reparti di polizia informatica hanno i mezzi
per risalire alla vera identità del proprietario di
un indirizzo email, per quanto registrato con dati inventati o
internazionale. Per cui non creda di poter continuare
a inquinare la mia casella email con queste promozioni.

in attesa di un suo cortese riscontro,
saluti cordiali

L’e-mail invita l’utente a scaricare un tool di rimozione collegandosi al sito notmorespyware.biz (il sito è ancora attivo, è sconsigliabile collegarsi all’indirizzo qui citato!). Il sito, che espone numerosi riconoscimenti a livello nazionale e internazionale, invita l’utente a scaricare il removal_tool.exe. Esistono altri link attivi, tra i quali TenKillerDirect.biz.

Il file, tuttavia, non è altro che un trojan.spambot che installa un BHO, una libreria dinamica all’interno della directory di sistema di Windows:
C:\WINDOWS\system32\webdesk.dll.

Prevx1 è aggiornato da questa mattina per la prevenzione, l’individuazione e la rimozione di questa infezione. Gli utenti di Prevx1 sono quindi attualmente protetti.

Per chi non utilizza Prevx1, l’ottimo Paolo Monti di Future Time ha creato un cleaner per la rimozione automatica di questo trojan. Il cleaner può essere scaricato a questo indirizzo.

Per eventuali aggiornamenti modificherò direttamente questa news aggiungendo altre informazioni.

*** UPDATE ***

Mi scuso per gli aggiornamenti sporadici - anzi praticamente quasi nulli - ma torno su questa infezione ogni quando ho un minuto di tempo libero e durante questi giorni sto dormendo 2/3 ore a notte - il che lascia immaginare il tempo libero che ho.

Removal_tool.exe è compresso con UPX e modificato per evitarne una decompressione diretta. Una volta lanciato, il trojan controlla se l’account e-mail presente nel pc che si sta infettando contiene una delle seguenti stringhe nel dominio:

police.it
poliziadistato.it
polizia-penitenziaria.it
polstrada.it
poliziamunicipale.it
polmunicipalemartina.it
munipol.it
polizia.it
carabinieri.it
carabinieri-bellinzona.com
carabinieri.net
interno.it
uilinterno.it
mininterno.it
nsd.it
admi.it
concorsi.it
esteri.it
codacons.it
punto-informatico.it
clusit.it
criminologia.org
diritto.it
agcom.it
attivissimo.net
serviziinformazionesicurezza.gov.it
sisde.it
governo.it
palazzochigi.it

In caso il controllo sia positivo, il trojan non prosegue nell’installazione della dll webdesk.dll. In caso negativo, la dll viene installata nel sistema e viene registrata come BHO, iniettata al successivo riavvio in explorer.exe. La dll è integrata nel removal_tool.exe, in una parte del codice del trojan ed è anch’essa compressa con UPX. Una volta effettuato questo controllo - sia stata la dll installata oppure no - il trojan mostra una schermata dal titolo Virus Killer 5.1 e dal messaggio: Avviare la scansione virus?. Se si clicca su Sì, il programma va in attesa per 5000ms, dopo i quali darà come risultato o
Non sono stati rilevati virus
o
Sono stati rimossi i seguenti virus: Evil mailer 1.0.87.

Per successivi aggiornamenti appena ho un altro minuto libero, scusate :(

*** UPDATE ***

Un’analisi più approfondita è disponibile QUI

Scritto il 30 Novembre 2006


19 Responses to “Uno studio legale ci denuncia? Trojan Spambot”


  1. Luca Carrera
    Novembre 30th, 2006 at 15:43

    Un altro sito indicato in questo tipo di email è:
    http://www.pc-protector.biz

    Anche questo è attivo e pubblica il medesimo removal_tool.exe.

    Luca


  2. francesco
    Novembre 30th, 2006 at 16:55

    cleanyourpc.biz
    personalspywareremover.biz
    watchwareassassin.biz


  3. Ufo
    Novembre 30th, 2006 at 19:08

    altro sito attivo:
    http://www.1st-In-SpyWare-Killer.biz
    sta mail è arrivata pure a me


  4. Marco
    Novembre 30th, 2006 at 20:06

    @francesco:

    ho editato i link per evitare il link completo all’exe :) Scusa se te l’ho approvato in ritardo, ma non mi ero accorto del commento in attesa :)


  5. Luciano
    Dicembre 1st, 2006 at 20:14

    I link sono ancora attivi, anzi attivissimi !


  6. maverick
    Dicembre 1st, 2006 at 21:58

    Tutti questi domini puntano ad un solo IP

    89.104.112.80

    Il nostri soliti cari amici russi

    inetnum: 89.104.112.0 - 89.104.115.255
    netname: SMART
    descr: SMART LTD
    country: RU
    admin-c: MVS69-RIPE
    tech-c: MVS69-RIPE
    remarks: Points of contact for SMART NOC
    remarks: ———————————————————-
    remarks: Routing and peering issues: Whois Privacy and Spam Prevention by DomainTools.com
    remarks: SPAM and Network security issues: Whois Privacy and Spam Prevention by DomainTools.com
    remarks: Customer support: Whois Privacy and Spam Prevention by DomainTools.com
    remarks: ———————————————————-
    status: ASSIGNED PA
    mnt-by: UNNET-MNT
    mnt-domains: MSMART-MNT
    source: RIPE # Filtered

    person: Mezenin Vyacheslav Sergeevich
    address: Kulturi pr. 44
    address: Saint-Petersburg, Russia
    phone: +7 812 592 13 05
    e-mail: Whois Privacy and Spam Prevention by DomainTools.com
    nic-hdl: MVS69-RIPE
    source: RIPE # Filtered


  7. TNT
    Dicembre 1st, 2006 at 21:58

    Sono irraggiungibili se non con un IP italiano… e’ il trend del momento…


  8. Marco
    Dicembre 1st, 2006 at 22:56

    esatto :)


  9. tony
    Dicembre 2nd, 2006 at 19:25

    Una email analoga è arrivata anche a me

    Sito ancora attivo:

    www.privacywall.biz


  10. Massimo
    Dicembre 2nd, 2006 at 21:48

    anche a me un’email con il link per wwww.privaciwall.biz …


  11. PC Al Sicuro » Archivio » Trojan.Spambot, terza variante
    Dicembre 3rd, 2006 at 23:45

    […] Un “removal tool” infetto L’avvocato Gianluca Gentili ci diffida attraverso e-mail, ma si tratta di trojan […]


  12. stefano
    Dicembre 6th, 2006 at 11:39

    anche a me un’email dall’avvocato Erich di Lecce con il link http://www.spystuffkiller.com/


  13. Attenzione a mail del genere - Amdclockers Forum
    Dicembre 6th, 2006 at 19:18

    […]   io ho scaricato un cleaner da questa pagina, l’ho eseguito e non mi ha trovato nulla metto la pagina che spiega anche come funziona sta cosa PC Al Sicuro » Archivio » Uno studio legale ci denuncia? Trojan Spambot Valerio __________________ Thanks to bCyclon […]


  14. Silvia
    Dicembre 7th, 2006 at 12:12

    è arrivato anche a me!!!
    il link è nowimprotected.com e arriva da un certo avvocato francesco gorg…
    come mai tutti o quasi arrivano dalla stessa via di Bologna????


  15. Oriana
    Dicembre 11th, 2006 at 13:57

    L’eemail è arrivata anche a me e mi sono fatta proprio fregare… Sono stata davvero troppo ingenua, ma era davvero ben camuffata la cosa… L’avvocato si chiamava Fabio Macha ed era di Firenze (via rossi).
    Ho provato la scansione con prevx e con il tool di nod32, ma il pc è ancora infetto e addirittura appena provo ad accedere alle cartelle o a IE, si spegne. Tutto ok per le applicazioni e per altri browser come Mozilla.
    Temo di dover formattare, perchè non sono riuscita a risolvere questi problemi. Sapreste indicarmi una possibile soluzione?
    Grazie.
    Oriana


  16. Oriana
    Dicembre 11th, 2006 at 16:51

    Niente “format c:”. Ho distrutto lo spambot rimuovendo una cartella di registro che si era insidiata come Browser Helper di Internet Explorer, chiamata BHO. Tutto funziona correttamente adesso.


  17. fabri
    Dicembre 12th, 2006 at 13:11

    Ecco un altro pollo! Il mio avvocato di chiama mattia timpe dell’ omonimo studio legale con sede in via magenta 81 di non si sà quale città.
    Infatti quest’ultima particolarità avrebbe dovuto farmi riflettere sulla veridicità della mail ma così non è stato. Ci sono cascato con tutte le scarpe. Visibilmente però, il mio pc funziona regolarmente. Qualcuno mi indica come fare ad entrare nelle cartelle di windows e rimuovere questo benedetto webdesk.dll o bho? O forse esiste un sito attendibile per scaricare qualche antivirus valido ed efficace? Grazie


  18. Gemma
    Dicembre 14th, 2006 at 16:33

    eh si che dire…. mi brucia ma ci sono cascata anch’io… con tutto che un sottile dubbio mi era venuto…. sigh…. cosa fare per rimuovere tutto?


  19. PC Al Sicuro » Archivio » Occhio alle e-mail di San Valentino
    Febbraio 13th, 2007 at 18:23

    […] Analizzato, il malware è esattamente parte della famiglia del vecchio Trojan.Spambot italiano, di cui si era già parlato su queste pagine lo scorso Novembre e Dicembre. Anche il codice, ritoccato per eludere le protezioni dei software antivirus, risulta comunque lo stesso. […]

Lascia un commento

« Spam e 899 sui cellulari
Next: Trojan Spambot - tempi di reazione »