Spambot torna per gli auguri di Natale

December 22nd, 2006 by Marco Leave a reply »

Mi è pervenuta una segnalazione riguardo una nuova e-mail che nelle ultime ore sta diffondendo una nuova variante del Trojan.Spambot.

L’e-mail recita:

OGGETTO: Buone feste e buon anno con video

TESTO:

Salve a tutti,
vi mando questo pensiero davvero divertente,
con tanti auguri per un sereno natale, buone feste e felice anno nuovo!

auguroni!

Oppure, altra variante, segnalatami ora, recita:

OGGETTO: Video di babbo natale

TESTO:

Gustatevi questo video-gag per natale!
tantissimi auguri!

tanti saluti

L’e-mail contiene l’allegato nata_leperduto.asx, altre varianti riportano il nome nata_le.asx, un file in formato leggibile per Windows Media Player. In realtà, una volta aperto il file, Media Player chiederà di scaricare i codec corretti per la visualizzazione del filmato.

Cliccando per scaricare i codec, verrà scaricato un file dal sito codecsnet.biz, o altri domini quali need-a-codec.biz, tutti riferiti allo stesso server, 89.104.112.81. Il file è una nuova variante del trojan spambot. Il primo avvistamento di questa nuova variante è avvenuto oggi alle 8.39 circa, ora locale.

É cambiato il dropper, cioè il file eseguibile, in modo da renderlo di nuovo non individuabile da parte di molte società di antivirus, sono cambiate le modalità di diffusione, ma il trojan è rimasto sostanzialmente lo stesso. Per l’analisi è possibile guardare QUI.

Questa volta, dopo l’esecuzione del finto codec, il messaggio che compare è il seguente:

-------------

Post correlati:

  1. Auguri di buon Natale 2006
  2. Auguri di buon natale

Posted in Sicurezza

You can follow any responses to this entry through the RSS 2.0 Feed. You can leave a response , or trackback from your own site.

Advertisement

7 comments

Add your comment
  1. maverick says:
    22 December 2006 at 10:38

    Name: codecsnet.biz
    IP: 89.104.112.81

    quello di prima finiva con 80. Ma c’è ancora un falso
    sito vweb? Io non riesco a raggiungerlo

  2. Marco says:
    22 December 2006 at 10:41

    No, niente sito web questa volta

  3. lufo88 says:
    22 December 2006 at 17:44

    quindi, se ho capito, non si può scaricare il trojan a differenza delle altre volte direttamente dal sito! peccato! ;)

  4. Sbronzo di Riace says:
    23 December 2006 at 09:41

    vai su it.comp.sicurezza.virus e trovi tutti i link da cui scaricare. Comunque oggi Active virus shield lo riconosce e quindi anche kaspersky.

  5. lufo88 says:
    25 December 2006 at 19:50

    puoi scrivere il link esatto sbronzo di riace?
    perchè ho provato in tutti i modi ma non riesco a visualizzare la pagina. ;)

  6. Sbronzo di Riace says:
    26 December 2006 at 11:45

    Non posso perché la politica di questo sito è di non mettere link pericolosi.Comunque i link giusti si trovano nei post dal titolo “nuova bestiola?” nel newsgroup che ho citato in precedenza e funzionano.

  7. Franco says:
    22 March 2007 at 19:00

    Ciao Marco.
    Sottolineo la stima che ho per Te e quello che fai.
    Ho verificato le dll che accompagnano service32.exe.
    Non ne ho trovate, se non una di nome
    umdm32.dll
    Cosa mi puoi dire?
    Grazie
    Ciao

Leave a Reply