Avv. Ubaldo Santarelli: un altro avvocato torna a colpire
Dopo alcuni mesi tornano le e-mail di diffida, delle cui precedenti varianti avevamo già parlato QUI e QUI.
Questa volta il testo dell’e-mail è:
Egregio Signore/a
Come da Raccomandata a.r.Oggetto: Messa in mora del debitore ex art. 1219 c.c.
La mia assistita mi informa che a tutt’oggi risulta un credito nei Vostri confronti dicomplessivi €. 900,00, come risulta dalla documentazione allegata.
Per quanto precede Vi rendo noto che, in difetto di ricezione, entro e non oltre dieci giorni dal ricevimento della presente, del complessivo importo di €. 900,00 oltre gli interessi dal dovuto al saldo di € 670,00, agirò legalmente nei Vostri confronti, con sensibile aggravio di spese.
Rimango in attesa di un Vostro riscontro in merito – nel termine di cui sopra – e distintamente Vi saluto.
Avv. Ubaldo Santarelli
Il link fornito nell’e-mail invita l’utente ad aprire una pagina web in cui si comunica la messa in mora e si mostra il documento in dimensioni molto piccole. L’utente, invitato a cliccarci sopra per leggere il documento, scaricherà un trojan.hijacker dalle dimensioni di 32.512 bytes.
Eseguito, il trojan aggiunge tra l’elenco dei siti attendibili i seguenti siti:
coppieesibizioniste.biz
gooogle.bz
my-securedoc.com
mysessoblog.com
mycreditoweb.com
phishnigfix.biz
preferiti-windows.com
ricercadoppia.com
qoogler.com
La home page di Internet Explorer viene reindirizzata a gooogle.bz (di cui avevamo già parlato) e le zone di Internet Explorer vengono alterate.
Viene creato il file:
C:\WINDOWS\system32\winsvc\svc\google.exe
C:\WINDOWS\gratis.pbk (per le connessioni dialer)
e viene creata la seguente chiave di registro:
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}
Da questa chiave deriva poi anche l’icona Connessione Veloce presente all’interno di Risorse del computer.
Vengono create due icone, chiamate Explorer.lnk e Internet.lnk, sul desktop e nei programmi del menu avvio. Hanno la stessa icona di Internet Explorer, per cui l’utente crede di lanciare il browser della Microsoft e si vede aprire un’altra pagina.
Il trojan ha anche funzioni di dialer:
8993993** Wind Telecomunicazioni S.p.A
8990325** CSINFO S.p.A
8994511** Wind Telecomunicazioni S.p.A
Prevx1 rimuove il trojan.
*** RIMOZIONE MANUALE ***
- Attraverso regedit (START - Esegui - “regedit”) eliminiamo - se presenti - le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}
- Riavviamo il computer. Al riavvio cancelliamo il file
C:\WINDOWS\system32\winsvc\svc\google.exe
- Cancelliamo la falsa icona di Internet Explorer sul desktop. La riconosciamo cliccando con il tasto destro sull’icona e cliccando su proprietà. Se vedremo nel campo destinazione la voce analcord.com quella è l’icona da eliminare. Lo stesso facciamo nel menu start - programmi, cerchiamo il collegamento che richiama analcord.com.
- Apriamo risorse del computer, dove prima c’era la connessione veloce ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto destro e poi elimina.
- Dobbiamo modificare la home page di Internet Explorer, la quale punta ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di sistema, possiamo aprire Internet Explorer cliccando con il tasto destro sull’icona del programma e cliccando su proprietà internet. Rimuoviamo gooogle.bz quindi dalla home page e modifichiamo anche l’elenco dei siti attendibili, andando su Protezione - Siti attendibili - Siti.
Dovremmo aver rimosso manualmente l’infezione.
Sbronzo di Riace
Maggio 1st, 2007 at 14:10
E qui l’ennesimo caso di phishing per Poste.it. L’e-mail mi è arrivate il 28 Aprile. Ho segnalato la cosa alle poste ma tra feste e ponti il sito ecuadoregno è ancora attivo.
http://altagradazione.blogspot.com/2007/04/finta-e-mail-da-posteit.html
Marco
Maggio 1st, 2007 at 14:12
Si, quelle ce le ho e anche parecchie
Ci sta lavorando Rossano ad un articolo a quanto ne so
Rossano
Maggio 1st, 2007 at 14:20
Ciao,
si ero già a conoscenza del sito del governo ecuadoregno. Sto lavorando con un team internazionale per bloccare la cosa nonchè in questi giorni avrò molto probabilmente un meeting con il top management delle poste. Il problema è noto e comunque sto buttando giù un documento da pubblicare su PcAlSicuro non appena ci sono maggiori chiarimenti anche a livello locale per non entrare in contrasto con le poste stesse.
Non posso fornire comunque ulteriori informazioni pubblicamente per ora anche perchè la polizia investiva sta operando per trappare il team criminale che sta dietro alla truffa.
Per quello che posso dire vi sono ancora molti server attivi per il mondo, tra cui India, Ecuador, Russia e altri peasi che purtoppo ospitano le fake-pages.
A presto e… stay tuned!
Rossano
Sbronzo di Riace
Maggio 1st, 2007 at 15:15
Ormai si tratta di ondate cicliche, blocchi un server e ne tirano su subito un altro. Ma questo sito ecuadoregno appartiene al phisher oppure hanno violato il server? Ieri nella parent directory c’era anche una cartella chiamata paypal.com, adesso non c’è più e mi pare che abbiano aggiunto nuovi files per Poste.it.
Mi pare che il server usi versioni datate di Apache e PHP.
Apache/2.0.55 (Ubuntu) PHP/4.4.2-1build1 Server at elmail.comitedeconsultoria.gov.ec Port 80
GLORIA
Maggio 3rd, 2007 at 09:03
mi dite che è una bufala questa mail dell avv ubaldo????
grazie
Marco
Maggio 3rd, 2007 at 12:32
Sono propenso per confermare la bufala
TNT
Maggio 3rd, 2007 at 19:58
‘Sti dementi hanno anche sbagliato a scrivere, mettendo “phishnigfix.biz” (che non esiste) nella trusted zone invece di “phishingfix.biz” (che e’ un loro sito)
susanna
Maggio 9th, 2007 at 11:19
Ci sono cascata e ho cliccato sui link e non si è aperta nessuna finestra. Ho Mac, cosa succede?
PC Al Sicuro » Blog Archive » La polizia postale ci segnala un’infrazione
Maggio 13th, 2007 at 01:37
[…] Si tratta di una variante del trojan.hijacker giá vista QUI e in molti altri articoli precedenti. […]
letizia
Maggio 15th, 2007 at 09:49
Una mail del tutto simile a quella dell’avv. Santarelli porta il nome di Gianluca Torretta del servizio rimborsi, che vi annuncia che da controlli fatti risultate a credito di € 268,80 e che la vostra posizione fiscale è la n 1452w775. Per controllare lo stato della posizione fiscale si chiede di cliccare un link che fa accedere ad una immagine microscopica identica a quella di Santarelli; a quel punto io ho reinserito la mail tra gli SPAM
axl
Maggio 15th, 2007 at 10:00
Per Susanna:
vivi serena noi che abbiamo Mac siamo sempre stati immuni dagli EXEguibili.
L’importante e’ continuare a lavorare con il sistem MAC OS X.
Discorso diverso se invece usi il MAC taroccato con bootcamp/parallels/… e lavori con Windows (saprai che dal passaggio a Intel e’ possibile anche questa aberrazione informatica).
Dopo tutto si sa, che una mela al giorno…
PS comunque utile informazione, grazie Marco.
Email diffida « Tertium Auris
Maggio 15th, 2007 at 11:43
[…] In questo bel blog descrizione del trojan e istruzioni per la sua eliminazione. […]
francesco
Maggio 15th, 2007 at 15:54
mi è arrivata la mail di sto avvocato ma è una bufala ! ok? e cosa devo fare !!!! aiutatremi per favore
PC Al Sicuro » Blog Archive » Il nostro PC è al sicuro? Non secondo il Trojan Hijacker
Maggio 16th, 2007 at 02:21
[…] Anche in questo caso, trattandosi della stessa variante del Trojan.Hijacker, ne abbiamo già parlato recentemente QUI. […]
Marcello
Maggio 16th, 2007 at 18:11
Ringrazio per l’avviso. Ho evitato la minaccia. Cordiali saluti
corrado
Maggio 22nd, 2007 at 20:41
Che gran figlio di p…..
voleva fregarci,ma avevamo capito.Abbiamo lo Span sulle e-mail e difatti non è passato!!!
Grazie per il vs impegno e aiuto su Internet
corrado
Maggio 22nd, 2007 at 20:45
ATTENZIONE !!!
C’è dell’altro che forse sfugge a tutti gli utenti di Internet.
Occhio alla Truffa di una e-mail inviata da un certo “Capitano della Polizia Prisco Mazzi” che arriva “falsamente” dalla Polizia di Stato….E’ una Bufala…non lo aprite,fa parte del solito “Troian…”
Ciao a tutti
Vincenzo
Maggio 23rd, 2007 at 12:49
Ciao a tutti, ho aperto la lettera dell’avvocato e si è installato il virus, avevo tolto il tutto come suggerito, con una precisazione:,
la chiave di registro l’ho tolta, ho riavviato e in WINDOWS\System32 non ho trovao una cartella winsvc ma solo una wins (tra l’altro vuota) quindi non ho rimosso nulla…. poi ho tolto le icone finte e ripristinato in opzioni internet la pagina di google….. risultato…. dopo una settimana è tornato…. ho rifatto il tutto ma niente…..allora ho usato prevx free e mi ha trovato qualcosa che ha cancellato, pensavo quel trojan, ma oggi riaccendo il computer e sono da capo…… cosa posso fare di più?
Help…… anche dalle casse del portatile ogni tanto sento un clic strano…….
pat
Maggio 31st, 2007 at 15:33
ho passato un brutto 1/4 d’ora……..non trovandolo al 1254 l’egregio avvocato , ho cercato l nome sul motore di ricerca www.searchalot.com e mi è comparsa subito la pagina con gli stessi contenuti…Ho AVAST home edition sul pc e mi ha messo nel suo cestino il maledetto. tuttavia verificherò manualmente seguendo le vs istruzioni preziose di cui vi ringrazio di cuore. Ma siamo proprio alla mercè di tutti oramai in questo Bel Paese…..vorrei anch’io segnalare alla polizia postale l’accaduto: come si fa?
Grazie ancora di cuore
pat
Maria Grazia
Giugno 5th, 2007 at 13:02
Ciao, ho provato ad eliminare dal file registro HKEY ma non mi è possibile farlo perchè “elimina” non si illumina. Ho eliminato le false icone ma il resto no. Come fare? Grazie mille!
Marilena
Giugno 8th, 2007 at 10:02
MI E’ ARRIVATA L’E-MAIL DELL’AVVOCATO….GRAZIE AL VOSTRO SITO HO TROVATO RISPOSTA A CIO’ CHE PENSAVO:UN VIRUS…
MA COME FANNO A SAPERE I NOSTRI INDIRIZZI?CONVIENE FARE LA DENUNCIA?
SALUTI MARILENA
Giusy
Giugno 30th, 2007 at 13:22
Non ho ricevuto l’e-mail dell’avvocato, però mi sono ritrovata lo stesso non so come questi siti nel computer.
Ho seguito le vostre indicazioni e li ho eliminati
Spero che non ritornano più comunque li ho inseriti tutti quanti nei siti con restrizioni mentre prima li ho trovati nei siti attendibili.
Grazie