Spambot torna per gli auguri di Natale

Mi è pervenuta una segnalazione riguardo una nuova e-mail che nelle ultime ore sta diffondendo una nuova variante del Trojan.Spambot.

L’e-mail recita:

OGGETTO: Buone feste e buon anno con video

TESTO:

Salve a tutti,
vi mando questo pensiero davvero divertente,
con tanti auguri per un sereno natale, buone feste e felice anno nuovo!

auguroni!

Oppure, altra variante, segnalatami ora, recita:

OGGETTO: Video di babbo natale

TESTO:

Gustatevi questo video-gag per natale!
tantissimi auguri!

tanti saluti

L’e-mail contiene l’allegato nata_leperduto.asx, altre varianti riportano il nome nata_le.asx, un file in formato leggibile per Windows Media Player. In realtà, una volta aperto il file, Media Player chiederà di scaricare i codec corretti per la visualizzazione del filmato.

Cliccando per scaricare i codec, verrà scaricato un file dal sito codecsnet.biz, o altri domini quali need-a-codec.biz, tutti riferiti allo stesso server, 89.104.112.81. Il file è una nuova variante del trojan spambot. Il primo avvistamento di questa nuova variante è avvenuto oggi alle 8.39 circa, ora locale.

É cambiato il dropper, cioè il file eseguibile, in modo da renderlo di nuovo non individuabile da parte di molte società di antivirus, sono cambiate le modalità di diffusione, ma il trojan è rimasto sostanzialmente lo stesso. Per l’analisi è possibile guardare QUI.

Questa volta, dopo l’esecuzione del finto codec, il messaggio che compare è il seguente:

Scritto il 22 Dicembre 2006


7 Responses to “Spambot torna per gli auguri di Natale”


  1. maverick
    Dicembre 22nd, 2006 at 10:38

    Name: codecsnet.biz
    IP: 89.104.112.81

    quello di prima finiva con 80. Ma c’è ancora un falso
    sito vweb? Io non riesco a raggiungerlo


  2. Marco
    Dicembre 22nd, 2006 at 10:41

    No, niente sito web questa volta


  3. lufo88
    Dicembre 22nd, 2006 at 17:44

    quindi, se ho capito, non si può scaricare il trojan a differenza delle altre volte direttamente dal sito! peccato! ;)


  4. Sbronzo di Riace
    Dicembre 23rd, 2006 at 09:41

    vai su it.comp.sicurezza.virus e trovi tutti i link da cui scaricare. Comunque oggi Active virus shield lo riconosce e quindi anche kaspersky.


  5. lufo88
    Dicembre 25th, 2006 at 19:50

    puoi scrivere il link esatto sbronzo di riace?
    perchè ho provato in tutti i modi ma non riesco a visualizzare la pagina. ;)


  6. Sbronzo di Riace
    Dicembre 26th, 2006 at 11:45

    Non posso perché la politica di questo sito è di non mettere link pericolosi.Comunque i link giusti si trovano nei post dal titolo “nuova bestiola?” nel newsgroup che ho citato in precedenza e funzionano.


  7. Franco
    Marzo 22nd, 2007 at 19:00

    Ciao Marco.
    Sottolineo la stima che ho per Te e quello che fai.
    Ho verificato le dll che accompagnano service32.exe.
    Non ne ho trovate, se non una di nome
    umdm32.dll
    Cosa mi puoi dire?
    Grazie
    Ciao

Lascia un commento

« Altra variante di Service32.exe
Next: Il reclutamento pericoloso »