Gli avvocati di moda
In questi giorni, oltre al trojan.spambot, si sta diffondendo un’altra e-mail in cui gli utenti vengono avvertiti di un’ingunzione di pagamento
L’oggetto dell’e-mail, più o meno, recita: Avviso di sanzione per interessi su insoluto Verbale P.M. N. 326123-1 del 4.12.2006 (o varianti)
Il testo dell’e-mail, più o meno, recita:
La presente per informarLa che la somma di € 2.623,44 dovuta alla nostra società e scaduti in data 10.11.2006 i termini come da nostra informativa precedente e visti maturazione interessi pari al 18,6% per la sua pratica N. 326123-1 sono soggetti a sanzione e decreto ingiuntivo se non corrisposti entro la data 20.12.2006
Certi di una sua celere risposta la invitiamo a visualizzare i dettagli della sanzione attraverso il nostro servizio automatico,
Come agire
Al fine di chiarire la sua posizione qualora non corrispondano le suddette somme a contattare il nostro servizio riscossione crediti
Cordiali saluti
Avv. Cons. Dpe Giordano Lanza
In realtà, ovviamente, è una truffa e il sito indicato nell’e-mail rimanda ad un malware. Non avevo aggiornato il blog perché era un argomento di cui avevo già parlato un paio di mesi fa. Vista comunque la richiesta di informazioni, rimetto il link all’analisi della vecchia variante - che di poco differisce dalla nuova. Il malware è identificato da Prevx1 come Trojan.Hijacker.
*** UPDATE ***
aggiornata l’analisi del trojan
Teliqalipukt
Dicembre 6th, 2006 at 16:28
Come interpreti questa diffusione di finte mail in lingua italiana? Mi interessava capire se gli scrittori di malware avessero cominciato a tradurre anche in italiano, o se invece fossero proprio iniziative di nostri connazionali…
TNT
Dicembre 6th, 2006 at 18:45
Teliqalipukt questi qui sono sicuramente italiani. E’ da almeno due/tre anni che vanno avanti, e hanno scritto sempre in un italiano credibilissimo (con “modi di dire” che nessuno conoscerebbe se non italiano).
Su Gromozon e compagnia brutta, invece, io dubito fortemente che siano italiani… ma allo stesso tempo credo sia piu’ che plausibile che abbiano (o abbiano avuto) appoggi anche in Italia, magari da gente che formalmente e’ “rispettabile”…
maverick
Dicembre 6th, 2006 at 22:14
Anch’io credo che gromozon non sia un virus “made in italy” come dice TNT.E’ davvero insolito
che un attacco tanto sofisticato sia avvenuto solo verso il nostro paese.Comunque Le persone coinvolte
o hanno lavorato in italia e/o con italiani. La pista dell’est Europeo è credibile ma
non è detto che sia quella giusta. Per scoprire chi c’è dietro bisogna quasi sempre andare dietro alle tracce che lasciano i soldi
Al è qui
Dicembre 7th, 2006 at 15:12
Le tracce e le modalità di varianti di gromozon fanno pensare sicuramente che la mente sia italiana. Le capacità tecniche non sono particolarmente eccezionali, ma soprattutto c’è stato l’errore più rilevante che ha fatto il writer o uno di coloro che lo hanno creato, ovvero le varianti.
Nessun writer ha un bisogno così sfrenato di contrattaccare antivirus e siti specifici.
Non è difficile capire chi in realtà da questa infezione ci ha guadagnato.
Anche solamente l’accanimento verso un sito come Hardware Upgrade e NON altri altrettanto grandi e con schede antigromozon ancora più particolareggiate, rende chiara la strategia del writer, o meglio dell’utilizzatore di gromozon, non sempre il writer è l’utilizzatore del virus.
Altrettanto assurdo l’accanimento contro Marco, quando mai si è visto un writer accanirsi contro UN solo soggetto?
Purtroppo se anche si ha la capacità di scrivere virus non sempre si è accompagnati da intelligenza. Questi ed altri ulteriori errori hanno dato grande aiuto alle Forze dell’ordine.
TNT
Dicembre 7th, 2006 at 17:06
“Al e’ qui”, sinceramente non ho la piu’ pallida idea di cosa tu voglia dire con “le capacita’ tecniche non sono particolarmente eccezionale, ma l’errore piu’ rilevante sono state le varianti”… Chi ha creato gromozon ha sicuramente voluto infettare il piu’ gente possibile, e le varianti sono una logica conseguenza di questo. Per quanto riguarda “le capacita’ tecniche” e’ evidente che SONO particolarmente eccezionali (nel campo dei creatori di malware, che solitamente vede tra le proprie fila gente le cui capacita’ sono invece piuttosto limitate).
TNT
Dicembre 7th, 2006 at 17:30
Anche “Le tracce e le modalità di varianti di gromozon fanno pensare sicuramente che la mente sia italiana” non ha senso… quali tracce farebbero pensare che la mente sia italiana, scusa?
maverick
Dicembre 7th, 2006 at 21:10
Neppure io ho capito bene le motivazioni di Al.Qui non si tratta di un esercizio di abilita’ di un sedicenne brufoloso ma sembra piu’ la mano di un’organizzazione specializzata in crimini informatici. “Non è difficile capire chi in realtà da questa infezione ci ha guadagnato”.
Beh io non lo so ma se tu hai un’idea faccelo sapere
TNT
Dicembre 7th, 2006 at 21:50
Maverick boh non so lui, ma io per cominciare direi sicuramente qualche operatore telefonico… ma sinceramente non voglio accusare nessuno, le teorie del complotto non mi piacciono. Dico solo che e’ semplicemente ridicolo che per molto tempo questi CRIMINALI abbiano fatto tutto cio’ che volevano (e piu’ o meno continuino a farlo) senza che chi avrebbe IL DOVERE di farlo si prenda la briga di informare ed indagare.
maverick
Dicembre 7th, 2006 at 22:12
A onor del vero per fare un esempio positivo il gestore telefonico di mia sorella non le ha fatto pagare la parte di bolletta gonfiata dal dialer che aveva preso la commessa.
asads
Dicembre 8th, 2006 at 20:04
scusate se vado OT ma i feed non funzionano
Marco
Dicembre 8th, 2006 at 20:15
Si, ci sono problemi.
Aggiungi all’RSS Reader questo link: http://www.pcalsicuro.com/main/feed/
Così dovrebbe funzionare
Al è qui
Dicembre 10th, 2006 at 00:58
Mi riproponevo di rispondere con più calma a TNT e maverik, perchè ovviamente ci vuole una risposta completa che spieghi a dovere le motivazioni del mio giudizio, però come al solito non ho manco un secondo, quindi scusatemi ma faremo a “puntate” il tutto
Prima cosa. Il gromozon prima versione e successive non è variato nella sostanza ma nei modi. Il codice rootkit usato non è una novità. Il modo di attivare in vari modi l’infezione, o con un trucco per accettare l’avvio del file infetto o con un wmf non pacthato, e l’ulteriore “difesa” del codice da antivirus è sintomo di una cosa: non sai modificare più di tanto il tuo codice. Perchè? Perchè non è tuo.
Certo, non sono ragazzini, sanno cosa fanno, ma non hanno un progetto preciso, si sono mossi frettolosamente e con un modo da “bambini”, tu mi elimini e io ti levo l’accesso, tu mi analizzi e io ti diffamo… un’organizzazione vuole fare soldi, giusto? E’ questo il modo di farlo?
Ammetto che l’idea del rootkit e del Ads è ottima, vero, lo ammetto, ma è usata malissimo.
Potevano infettare milioni di macchine e non farsi neanche rilevare per mesi… niente.
Poi attaccare in un solo colpo milioni di client.
Un vero bombardamento. Colpire e fuggire, la miglior tecnica di combattimento, anche in ambito informatico.
Qui, manca la capacità personale, sono solo utilizzatori, e con poco cervello.
TNT
Dicembre 10th, 2006 at 02:11
Al beh, innanzitutto il wmf era usato all’inizio, poi hanno aggiunti molti altri exploit, alcuni dei quali sono rimasti “non patchati” per alcuni giorni (setSlice, ad esempio); inoltre il setSlice e’ stato scoperto “in the wild” (cosi’ come lo era stato il WMF lo scorso dicembre), e cioe’ era gia’ utilizzato DAI CREATORI DEL MALWARE prima che la vunlerabilita’ fosse cosa pubblica. Visto e considerato che questi qua (quelli di gromozon) sono associati (o forse addirittura le stesse persone) con quelli che stavano utilizzando quei metodi di infezione, mi sembra azzardato dire che “il codice non e’ loro”…
In quanto a “infettare milioni di macchine e non farsi rilevare per mesi”… mi sembra che ci siano andati MOLTO vicino; trovai il primo esempio di gromozon lo scorso maggio:
http://cut-thecrap.blogspot.com/2006/05/what-to-donet.html
Prima che altri “siti importanti” in Italia abbiano iniziato a parlarne sono passati mesi; e non considero neanche la stampa e gli organi di informazione di massa, che non ne hanno MAI parlato. Non hanno infettato milioni di computer? Non ci giurerei… secondo me la cifra se non e’ di un milione, ci si avvicina molto (anzi, se devo proprio essere onesto, seguo l’evolversi di questo malware da tempo e sinceramente, secondo me siamo oltre il milione di PC infettati).
E “colpire e fuggire”… beh, ti posso assicurare che tutti i siti che infettavano con gromozon hanno smesso di funzionare da quasi un mese. Certo, altro malware piu’ “blando” l’ha rimpiazzato sugli stessi siti ma gromozon, come infezione e’ sparita nel nulla da un giorno all’altro. O sono stati fermati e arrestati (ne dubito), o hanno deciso di “sparire”.
maverick
Dicembre 10th, 2006 at 16:46
TNT c’è una cosa davvero che non capisco come sia possibile.Magari sono ingenuo. La pagina che segnali nell’articolo (quella sulla gravidanza) è ancora attiva e sta su un host italiano 216.195.50.235 (Vicenza anche se non è sicuro )Daina S.p.a . Assurdo. Sono impazzito io o è così? Va bene per le pagine che sono in Ucraina ma qui? Boh?
maverick
Dicembre 10th, 2006 at 17:16
Query: what-to-do.net
Registry: whois.onlinenic.com
Results: virgilio.what-to-do.net = [ 216.195.50.235 ]
[ whois.abuse.net : virgilio.what-to-do.net ]
postmaster@virgilio.what-to-do.net postmaster@what-to-do.net
———————————————————————-
Registrant:
Brenton Bequette admin@terrorizm.org 1.6143806387
n/a
Betz Place 49 57
STEUBENVILLE,OH,SC n/a
Domain Name:what-to-do.net
Record last updated at 2006-06-13 07:46:25
Record created on 2005/6/29
Record expired on 2007/6/29
Domain servers in listed order:
ns1.tallin-ns.net ns2.tallin-ns.net
Administrator:
Name– Brenton Bequette
EMail-: (admin@terrorizm.org)
tel –: 1.6143806387
org: n/a
Betz Place 49 57
STEUBENVILLE,OH,SC n/a
Technical Contactor:
Name– Brenton Bequette
EMail-: (admin@terrorizm.org)
tel –: 1.6143806387
org: n/a
Betz Place 49 57
STEUBENVILLE,OH,SC n/a
Billing Contactor:
Name– Brenton Bequette
EMail-: (admin@terrorizm.org)
tel –: 1.6143806387
org: n/a
Betz Place 49 57
STEUBENVILLE,OH,SC n/a
Registration Service Provider:
name: Totalplus Limited
tel: 1-212-994-0526
fax: 1-212-994-0526
web:http://
Al è qui
Dicembre 10th, 2006 at 17:25
Come al solito, server russi non ci fai nulla.
Possono rimanere attivi per anni, sono intoccabili.
Per riprendere il discorso TNT, poi magari se ci sarà un posto più adatto lo riprendiamo, è una discussione interessante, il punto è che se tu TNT, ipoteticamente domani vuoi fare un virus, come lo faresti? Sicuro che lo faresti come gromozon? Con la sua lentezza, con i chiari legami di server da cui scaricare malware?
Per fare soldi è il metodo peggiore, non quadra.
Qui l’obiettivo era un altro.
francesco
Dicembre 10th, 2006 at 22:05
Ho un amico “complottista”… posso chiedere a lui, avrà centomila motivi….
A parte gli scherzi, pure io e un mio collega che ci siamo applicati su questo virus non siamo stati in grado di capire lo scopo finale di gromozon: nonostante le vostre critiche è pur sempre un bel pezzo di software, rimasto nascosto per molti mesi, con un lavoro preparatorio risalente ai primi mesi del 2006 (google bombing…. ho fatto una ricerca e ho trovato un sacco di siti usati per il mailbombing), la predisposizione di numerosissimi domini “italiani” con contenuti vari (stavo beccando il virus cercando una poesia di Montale…) ….
insomma…. un sacco di lavoro pre cosa ? un visualizzatore di banner ?
Non un keylogger ?! Uno “screen logger” ?! Un “mass-mailer” ?! Una botnet ?!
Niente, solo qualche pubblicità !
Non ci posso credere….
PC Al Sicuro » Archivio » gli avvocati di moda - parte seconda
Dicembre 10th, 2006 at 22:33
[…] Riprendo questa news riguardante una nuova ondata di spam in cui un avvocato ci avverte di un’ingiunzione di pagamento. Sono riuscito a trovare del tempo oggi per effettuare un’analisi leggermente più approfondita di questo trojan, che riporto qui sotto. […]
TNT
Dicembre 10th, 2006 at 22:38
francesco, gromozon installa anche un dialer (e pure carissimo)… pero’ anche a me non quadra, secondo me le finalita’ erano altre. Quando ho testato gromozon (le ultime evoluzioni) su una macchina sacrificale (in VMWare non partiva neanche) ho notato che c’era del traffico crittato che veniva continuamente scambiato con un IP di Netcathost in background. Qualcuno l’ha decrittato e sa esattamente di cosa si tratta?
Al è qui
Dicembre 10th, 2006 at 23:38
Che sia un bel codice rimango nei miei dubbi, comunque sia non è questo che importa, è importante invece che tutti abbiamo la stessa sensazione, non quadra.
Non si fa tuto questo per un virus che non raggiunge neanche il minimo storico di netsky.
Qualcosa non funziona e quando qualcosa non funziona non riesco a togliermi dalla testa che voglio sapere cosa volevano fare.
Non che volessero distruggere il mondo, ma qualcosa volevano fare. Oppure era solo una macchina troppo potente in mano ad incompententi…
Tnt, interessante quel codice, può darsi sia solo dei dati presi dalla macchina infetta e trasferiti ai writer? Tipo codici carte credito o bancari?
Non che sia il migliore a cui darlo, ma se tu avessi modo di averne un pezzo non mi spiacerebbe darci un’occhiata.
maverick
Dicembre 11th, 2006 at 00:13
E’ evidente che la finalita’ era quella di rubare essenzialmente dati sensibili piu’ che visualizzare qualche banner, oppure installare un dialer visto ormai basta una denuncia e si attaccano.Perche’ poi non attaccare anche altri paesi invece che solo l’Italia.Magari solo quelli in cui l’uso della carta e dell’home banking è piu’ diffuso. Comunque rimane il mistero di come sia possibile che quella pagina sia ancora attiva su di un host italiano.
maverick
Dicembre 11th, 2006 at 00:33
http://www.domaintools.com/reverse-ip/?hostname=216.195.50.235
ma quanti bei sitarelli ospita questo server.
Non ho capito come mai ottego risultati diversi usando programmi di trace diversi
comunque rettifico dovrebbe stare negli USA
francesco
Dicembre 11th, 2006 at 11:35
Mi arriva oggi questo aggiornamento da un blog della Trend Micro:
http://servicecenter.antivirus.com/tm/core/en/frame4public/diary/index.php?selectReleaseDate=2006-12-08&debut=0#1050
Qui parlano anche di spyware e altro… io non ho riscontrato nulla di tutto ciò ma forse è stato provvidenziale il blocco degli IP sul firewall.
Qualcosa non ha funzionato… forse non sono riusciti nel loro intento…. nel blog sopra si teorizza una compartecipazione di più gruppi….
Al è qui
Dicembre 11th, 2006 at 12:53
Anche il fatto di restringere gli ip all’Italia… o sono mongoloidi oppure stanno facendo altro.
Marco
Dicembre 11th, 2006 at 14:01
@Francesco: nell’articolo non parlano di spyware (perlomeno ho letto frettolosamente io e non l’ho visto) ma parlano di rogue antispyware. I rogue antispyware sono quei software che vengono pubblicizzati come finti antispyware quando in realtá nascondono altro, vedi per l’appunto quello che é successo con il trojan.spambot.
PS. ora comincio vagamente a spiegarmi il perché di tante connessioni giornaliere a questo sito da parte di ip provenienti dalla trendmicro…
francesco
Dicembre 11th, 2006 at 14:30
@Marco
ce li ho mandati io….. dispiace ?
Nel testo del blog c’è un riferimento ad un approfondimento nel quale si elencano i malware scaricati e fra questi ci sono svariati SPY_*
Marco
Dicembre 11th, 2006 at 17:46
no figurati, anzi
Ho notato ora leggendo l’ultimo numero di Virus Bulletin che la Symantec ha scritto un’analisi del Gromozon e come fonte ha utilizzato anche il mio documento.
TNT
Dicembre 11th, 2006 at 19:48
Al, io invece non credo proprio che abbiano attaccato quasi solo l’Italia per caso… l’Italia e’ uno dei peggiori Paesi (tra quelli “avanzati”) in fatto di “sicurezza informatica”, con un’ignoranza di base paurosa e con pochissimi che si dedicano all’argomento in campo professionale. Questo pur avendo una discreta quantita’ di connessioni ad Internet.
maverick
Dicembre 11th, 2006 at 21:47
si ma l’home banking e l’uso delle carte di credito è poco diffuso e quelli che fanno acquisti online usano la ricaricabile. Comunque grazie e gromozon mi sono reso conto che per la navigazione per persone che non sanno nulla di “informatica” è meglio non usare windows. Speriamo che Vista migliori la situazione
francesco
Dicembre 11th, 2006 at 21:51
@TNT
ti quoto in pieno !
Non è facendo sconti sull’acquisto del PC che si crea cultura informatica ! Non perché sei proprietario di un pc sei automaticamente un esperto sistemista. L’automobile, ed adesso mi sembra il motorino, per guidarlo hai bisogno di una patente ! E quando prendi una carta di credito ti fanno firmare montagne di carte in cui dichiari di aver capito tutto e ti impegni a pagare ! Con il PC no ! Diventi un esperto subito dopo aver firmato l’assegno !
Ah, e l’esperienza, la conoscenza degli strumenti e la capacità di gestire le situazioni, anche d’emergenza, diventano un patrimonio che gli altri esigono sia messo a loro disposizione sempre e gratuitamente ! Ho deciso, dopo ripetuti incontri occasionali durante i quali ho detto di essere un informatico e che fra le altre cose mi occupo di antivirus e similare e quindi essere stato sobillato di domande ASSURDE alle quali si chiedevano risposte PRECISE e DETTAGLIATE, ho deciso, dicevo, nelle prossime occasioni, di dichiarare come professione quella del BECCHINO e di offrire io stesso ai miei interlocutori consulenze gratuite !
Al è qui
Dicembre 11th, 2006 at 23:26
Già perchè in America dove l’acquisto on line è un must, e dove sono 300 milioni invece è pieno di hacker… e tutti sanno come usare il computer. Mi pare azzardato e un pò il solito modo di dire sull’Italia.
Mah, comunque sia, ormai quello che dovevano fare l’hanno fatto, poco importa devo dire.
maverick
Dicembre 12th, 2006 at 01:01
gia’ .Il problema è dei tecnici non degli utenti. L’usabilita’ e la sicurezza dei manufatti non devono
essere affari degli utilizzatori del pc. E come se un o che guida la macchina dovesse essere meccanico, elettrauto e carrozziere. Il web è delle masse ormai come è giusto che sia
francesco
Dicembre 12th, 2006 at 01:47
Non deve di certo essere meccanico, carrozziere o elettrauto, ma deve conoscere i fondamentali della guida: riconoscere i segnali, le precedenze, che si guida a destra, l’uso delle corsie di sorpasso e delle frecce….. e che ti devi (dovresti) fermare allo stop se non vuoi rischiare l’incidente o mettere sotto qualcuno…. analoghi segnali e analoghe regole le potremmo definire anche sul pc ma non c’è la stessa sensibilità e si scarica di tutto da tutte le parti e lo si lancia, anche l’allegato proveniente da quel tizio conosciuto in vacanza 8 anni fa e che non sentivamo da 4…..
L’educazione degli utenti è basilare, al riguardo vi chiedo: potete indicarmi un testo breve, introduttivo, semplice, leggibile da un analfabeta dell’informatica che riporti le regole per una sana navigazione web e l’uso “sicuro” della posta elettronica ?
maverick
Dicembre 12th, 2006 at 02:35
la pensiamo in modo differente evidentemente. La HCI (human computer interaction) dice ben altre cose da quelle che sostieni tu.L’usabilita’ è la sfida del futuro insieme alla sicurezza.Per usare un pc non dovrebbe essere necessario nemmeno leggere un manuale.Come farlo nel limite del possibile spetta ai tecnici e progettisti.Se un’interfaccia per essere usata ha bisogno del manuale allora è fatta male.Anche le auto sono sempre piu’ sicure e semplici da guidare.Ci sono dei virus come gromozon che si prendevano navigando sul web. Certo tutti devono sapere cosa sia un exploit ed un rootkit e come rimuoverlo. E’ una cosa facile come guidare una macchina.
TNT
Dicembre 12th, 2006 at 03:30
Al, la differenza non sta “nelle masse”, sta nel campo dei professionisti di settore. Affermare che in Italia il livello medio dei professionisti informatici e’ come quello degli USA e’ assurdo. Un attacco come quelli di gromozon diretto agli USA avrebbe subito smosso migliaia di “esperti di sicurezza informatica”… in Italia quanta gente da smuovere c’e'?
francesco
Dicembre 12th, 2006 at 10:16
@ Maverick
Sono perfettamente d’accordo con te…. per il futuro !
Ma purtroppo ad oggi i pc arrivano con XP preinstallato, con sp2 ma senza patch. Lo streamlininig delle patch si deve fare con programmi esterni…. cosa costerebbe alla Microsoft fare e supportare una cosa simile ?
Del livello degli esperti di sicurezza non saprei… tutto dipende dalle richieste del mercato… e dalla scarsa serietà di molte ditte che “vendono” i tecnici, spacciando per senior gente appena uscita dall’università che non sa nemmeno cosa sia vi !
La discussione è interessante, ma penso off-topic….