Dopo alcuni mesi tornano le e-mail di diffida, delle cui precedenti varianti avevamo già parlato QUI e QUI.
Questa volta il testo dell’e-mail è:
Egregio Signore/a
Come da Raccomandata a.r.Oggetto: Messa in mora del debitore ex art. 1219 c.c.
La mia assistita mi informa che a tutt’oggi risulta un credito nei Vostri confronti dicomplessivi €. 900,00, come risulta dalla documentazione allegata.
Per quanto precede Vi rendo noto che, in difetto di ricezione, entro e non oltre dieci giorni dal ricevimento della presente, del complessivo importo di €. 900,00 oltre gli interessi dal dovuto al saldo di € 670,00, agirò legalmente nei Vostri confronti, con sensibile aggravio di spese.
Rimango in attesa di un Vostro riscontro in merito – nel termine di cui sopra – e distintamente Vi saluto.
Avv. Ubaldo Santarelli
Il link fornito nell’e-mail invita l’utente ad aprire una pagina web in cui si comunica la messa in mora e si mostra il documento in dimensioni molto piccole. L’utente, invitato a cliccarci sopra per leggere il documento, scaricherà un trojan.hijacker dalle dimensioni di 32.512 bytes.
Eseguito, il trojan aggiunge tra l’elenco dei siti attendibili i seguenti siti:
coppieesibizioniste.biz
gooogle.bz
my-securedoc.com
mysessoblog.com
mycreditoweb.com
phishnigfix.biz
preferiti-windows.com
ricercadoppia.com
qoogler.com
La home page di Internet Explorer viene reindirizzata a gooogle.bz (di cui avevamo già parlato) e le zone di Internet Explorer vengono alterate.
Viene creato il file:
C:\WINDOWS\system32\winsvc\svc\google.exe
C:\WINDOWS\gratis.pbk (per le connessioni dialer)
e viene creata la seguente chiave di registro:
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}
Da questa chiave deriva poi anche l’icona Connessione Veloce presente all’interno di Risorse del computer.
Vengono create due icone, chiamate Explorer.lnk e Internet.lnk, sul desktop e nei programmi del menu avvio. Hanno la stessa icona di Internet Explorer, per cui l’utente crede di lanciare il browser della Microsoft e si vede aprire un’altra pagina.
Il trojan ha anche funzioni di dialer:
8993993** Wind Telecomunicazioni S.p.A
8990325** CSINFO S.p.A
8994511** Wind Telecomunicazioni S.p.A
Prevx1 rimuove il trojan.
*** RIMOZIONE MANUALE ***
- Attraverso regedit (START – Esegui – “regedit”) eliminiamo – se presenti – le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}
- Riavviamo il computer. Al riavvio cancelliamo il file
C:\WINDOWS\system32\winsvc\svc\google.exe
- Cancelliamo la falsa icona di Internet Explorer sul desktop. La riconosciamo cliccando con il tasto destro sull’icona e cliccando su proprietà. Se vedremo nel campo destinazione la voce analcord.com quella è l’icona da eliminare. Lo stesso facciamo nel menu start – programmi, cerchiamo il collegamento che richiama analcord.com.
- Apriamo risorse del computer, dove prima c’era la connessione veloce ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto destro e poi elimina.
- Dobbiamo modificare la home page di Internet Explorer, la quale punta ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di sistema, possiamo aprire Internet Explorer cliccando con il tasto destro sull’icona del programma e cliccando su proprietà internet. Rimuoviamo gooogle.bz quindi dalla home page e modifichiamo anche l’elenco dei siti attendibili, andando su Protezione – Siti attendibili – Siti.
Dovremmo aver rimosso manualmente l’infezione.
E qui l’ennesimo caso di phishing per Poste.it. L’e-mail mi è arrivate il 28 Aprile. Ho segnalato la cosa alle poste ma tra feste e ponti il sito ecuadoregno è ancora attivo.
http://altagradazione.blogspot.com/2007/04/finta-e-mail-da-posteit.html
Si, quelle ce le ho e anche parecchie
Ci sta lavorando Rossano ad un articolo a quanto ne so
Ciao,
si ero già a conoscenza del sito del governo ecuadoregno. Sto lavorando con un team internazionale per bloccare la cosa nonchè in questi giorni avrò molto probabilmente un meeting con il top management delle poste. Il problema è noto e comunque sto buttando giù un documento da pubblicare su PcAlSicuro non appena ci sono maggiori chiarimenti anche a livello locale per non entrare in contrasto con le poste stesse.
Non posso fornire comunque ulteriori informazioni pubblicamente per ora anche perchè la polizia investiva sta operando per trappare il team criminale che sta dietro alla truffa.
Per quello che posso dire vi sono ancora molti server attivi per il mondo, tra cui India, Ecuador, Russia e altri peasi che purtoppo ospitano le fake-pages.
A presto e… stay tuned!
Rossano
Ormai si tratta di ondate cicliche, blocchi un server e ne tirano su subito un altro. Ma questo sito ecuadoregno appartiene al phisher oppure hanno violato il server? Ieri nella parent directory c’era anche una cartella chiamata paypal.com, adesso non c’è più e mi pare che abbiano aggiunto nuovi files per Poste.it.
Mi pare che il server usi versioni datate di Apache e PHP.
Apache/2.0.55 (Ubuntu) PHP/4.4.2-1build1 Server at elmail.comitedeconsultoria.gov.ec Port 80
mi dite che è una bufala questa mail dell avv ubaldo????
grazie
Sono propenso per confermare la bufala
‘Sti dementi hanno anche sbagliato a scrivere, mettendo “phishnigfix.biz” (che non esiste) nella trusted zone invece di “phishingfix.biz” (che e’ un loro sito)
Ci sono cascata e ho cliccato sui link e non si è aperta nessuna finestra. Ho Mac, cosa succede?
Una mail del tutto simile a quella dell’avv. Santarelli porta il nome di Gianluca Torretta del servizio rimborsi, che vi annuncia che da controlli fatti risultate a credito di € 268,80 e che la vostra posizione fiscale è la n 1452w775. Per controllare lo stato della posizione fiscale si chiede di cliccare un link che fa accedere ad una immagine microscopica identica a quella di Santarelli; a quel punto io ho reinserito la mail tra gli SPAM
Per Susanna:
vivi serena noi che abbiamo Mac siamo sempre stati immuni dagli EXEguibili.
L’importante e’ continuare a lavorare con il sistem MAC OS X.
Discorso diverso se invece usi il MAC taroccato con bootcamp/parallels/… e lavori con Windows (saprai che dal passaggio a Intel e’ possibile anche questa aberrazione informatica).
Dopo tutto si sa, che una mela al giorno…
PS comunque utile informazione, grazie Marco.
mi è arrivata la mail di sto avvocato ma è una bufala ! ok? e cosa devo fare !!!! aiutatremi per favore
Ringrazio per l’avviso. Ho evitato la minaccia. Cordiali saluti
Che gran figlio di p…..
voleva fregarci,ma avevamo capito.Abbiamo lo Span sulle e-mail e difatti non è passato!!!
Grazie per il vs impegno e aiuto su Internet
ATTENZIONE !!!
C’è dell’altro che forse sfugge a tutti gli utenti di Internet.
Occhio alla Truffa di una e-mail inviata da un certo “Capitano della Polizia Prisco Mazzi” che arriva “falsamente” dalla Polizia di Stato….E’ una Bufala…non lo aprite,fa parte del solito “Troian…”
Ciao a tutti
Ciao a tutti, ho aperto la lettera dell’avvocato e si è installato il virus, avevo tolto il tutto come suggerito, con una precisazione:,
la chiave di registro l’ho tolta, ho riavviato e in WINDOWS\System32 non ho trovao una cartella winsvc ma solo una wins (tra l’altro vuota) quindi non ho rimosso nulla…. poi ho tolto le icone finte e ripristinato in opzioni internet la pagina di google….. risultato…. dopo una settimana è tornato…. ho rifatto il tutto ma niente…..allora ho usato prevx free e mi ha trovato qualcosa che ha cancellato, pensavo quel trojan, ma oggi riaccendo il computer e sono da capo…… cosa posso fare di più?
Help…… anche dalle casse del portatile ogni tanto sento un clic strano…….
ho passato un brutto 1/4 d’ora……..non trovandolo al 1254 l’egregio avvocato , ho cercato l nome sul motore di ricerca http://www.searchalot.com e mi è comparsa subito la pagina con gli stessi contenuti…Ho AVAST home edition sul pc e mi ha messo nel suo cestino il maledetto. tuttavia verificherò manualmente seguendo le vs istruzioni preziose di cui vi ringrazio di cuore. Ma siamo proprio alla mercè di tutti oramai in questo Bel Paese…..vorrei anch’io segnalare alla polizia postale l’accaduto: come si fa?
Grazie ancora di cuore
pat
Ciao, ho provato ad eliminare dal file registro HKEY ma non mi è possibile farlo perchè “elimina” non si illumina. Ho eliminato le false icone ma il resto no. Come fare? Grazie mille!
MI E’ ARRIVATA L’E-MAIL DELL’AVVOCATO….GRAZIE AL VOSTRO SITO HO TROVATO RISPOSTA A CIO’ CHE PENSAVO:UN VIRUS…
MA COME FANNO A SAPERE I NOSTRI INDIRIZZI?CONVIENE FARE LA DENUNCIA?
SALUTI MARILENA
Non ho ricevuto l’e-mail dell’avvocato, però mi sono ritrovata lo stesso non so come questi siti nel computer.
Ho seguito le vostre indicazioni e li ho eliminati
Spero che non ritornano più comunque li ho inseriti tutti quanti nei siti con restrizioni mentre prima li ho trovati nei siti attendibili.
Grazie