Sono tornato da pochi minuti a casa e ho trovato alcuni aggiornamenti sul caso Trojan.Spambot. Infatti, dopo che venerdì notte era stata rilasciata una nuova versione del trojan (che Prevx ha identificato praticamente subito), il sabato mattina Paolo Monti ha aggiornato il proprio cleaner per la pulizia della nuova variante del malware.
Oggi però è stata rilasciata ancora un’altra variante del trojan, della quale sono venuto a conoscenza qualche minuto fa. Questa nuova variante del trojan, secondo le nostre segnalazioni, è stata vista per la prima volta quest’oggi 3 Dicembre alle 19.20 CET (ora locale).
La variante è attualmente identificata da Prevx1 e Kaspersky – tra i nomi più famosi. Euristicamente è identificata anche da Sunbelt. Questa nuova variante evade attualmente dal cleaner di Paolo Monti.
Chi dunque pensa di essere infetto può tranquillamente fare una scansione con Prevx1 per la pulizia del pc.
*** UPDATE ***
Sono tornato da un paio d’ore da un week-end abbastanza stressante, tuttavia – sebbene stia barcollando dal sonno – ho voluto buttare un occhio ad alcune caratteristiche di questo trojan.
Come avevo già detto QUI , il trojan controlla se il pc che sta infettando non è il pc di qualche ente giudiziario, polizia, o giornali tecnologici online.
Se, in caso positivo, si trovi in uno di quei pc, non solo non prosegue l’infezione, ma il falso trojan agisce realmente da “removal tool”.
Infatti tenterà di cancellare i seguenti file, se esistono, che si trovano sotto la directory di sistema di Windows:
mousegex.dll
wbcfinder.dll
webmons.dll
webmon.dll
webquick.dll
webdes.dll
Fanno parte di alcune infezioni da adware.
La terza variante di questo trojan cambia anche il messaggio iniziale:
Sono stati rimossi i seguenti virus: Evil mailer C.
-------------
Post correlati:
Evil Mailer C
Ciao
si lo so
è che stavo mangiando, prima di scrivere eventuali aggiornamenti 
basta questo per fregare nod32. Davvero incredibile. Oggi ne hanno parlato al tg3. Bisognerebbe bloccare l’host ed eliminare i domini dai dns. Penso che tra poco anche pctools di muovera’ se ha qualcuno dall’italia li informa visto che credo che il sito sia accessibile solo dal nostro paese
“basta questo per fregare nod32. Davvero incredibile”
Personalmente credo che sia davvero incredibile che la gente si aspetti di poter eseguire sempre roba a casaccio confidando che l’antivirus riconosca sempre ogni malware. Non e’ compito dell’antivirus fare questo, non lo e’ mai stato e mai lo sara’ (anzi, forse col passare del tempo lo sara’ sempre meno).
che hanno detto al tg3?
Beh il web non è solo dei professionisti dell’IT o di gente esperta e smaliziata. Ora che internet è diventato uno strumento per le masse sono i tecnici che devono risolvere i problemi di sicurezza e lo dico contro il mio interesse. E’ assurdo che uno per navigare debba muniersi di firewall, antivirus m antispyware, antirootkit , aggiornare il sistema in contunazione con patch. Se un qualsiasi manufatto per
milioni di persone è tanto complesso qualcosa che non va c’è
Al tg3 hanno detto semplicemente che gira una mail fasulla che invita a scaricare un virus ed hanno mostrato il sito che è una copia di una pagina della softwarehouse australiana pctools.
ok grazie, da ieri non sono a casa e ho visto solo stasera gli aggiornamenti
Ma non si potrebbe killare con il kill bit 400 i relativi CLSID del malware?
Adesso faccio qualche prova.