Da fine Novembre / inizio Dicembre 2006 il team che sta alle spalle delle famose e-mail i cui soggetti preferiti sembrano essere avvocati – ma in altri casi anche polizia municipale o compagnie di sicurezza informatica – è stato molto attivo nel rilasciare continui aggiornamenti del proprio malware.
Un Trojan.Hijacker spesso modificato nella forma per evitare i controlli delle firme virali da parte dei software antivirus, fino ad arrivare a cambi radicali in queste ultime versioni di Maggio. Cambio nella forma, ma non nella sostanza. Continua a modificare Internet Explorer, la home page e aggiunge alla lista dei siti attendibili siti infetti, continua ad avere funzioni di dialer. Continua ad essere sempre più “italiano”.
I testi delle e-mail sono sempre scritti in italiano fluente e corretto, ma non è solo questo il punto che fa sospettare una possibile natura italiana del malware.
Gli autori si sono dati al typosquatting. Questo termine sta ad indicare una tecnica atta al furto di un nome di dominio sfruttando gli sbagli che spesso gli utenti compiono scrivendo velocemente un URL.
In altre parole, se questo sito in oggetto si chiama www.pcalsicuro.com, secondo il typosquatting qualcuno potrebbe registrare il dominio www.pcaslicuro.com e utilizzarlo per trasmettere del malware. Si tratta, in altre parole, di avvicinarsi il più possibile all’indirizzo del sito originale di cui si vuole simulare l’URL in modo tale che un utente, digitando frettolosamente, si possa ritrovare su una pagina infetta.
Risulta interessante vedere come questi untori si siano dati da fare registrando molti domini tra i quali:
www.corrire.it
www.ilmessagero.it
www.messagero.it
www.tutttogratis.it
www.reppublica.it
www.googler.it
www.googlie.it
hotmaill.it
liberol.it
www.quattoruote.it
www.unfi.it
wwwgenialloyd.it
wwwilmessaggero.it
www.ispsel.it
www.googlew.it
www.juvenus.it
wwwhwupgrade.it
www.corriete.it
www.uninib.it
www.unpi.it
www.freonline.it
www.pagineialle.it
nirgilio.it
www.asnsa.it
www.repubbulica.it
tuttoratis.it
www.sbobba.it
www.egazzetta.it
libvero.it
www.alitala.it
wwwadr.it
I domini, registrati al NIC, risultano essere proprietà di un signore tedesco:
Name: Bojarovs Aleksejs
ContactID: BA3396-ITNIC
Address: street: Grodnas 42/72
zip: LV-5400
city: Daugavpils
DE
della cui reale esistenza dubito fortemente o, almeno, anche lui potrebbe essere vittima a sua volta.
La società che ha registrato i domini risponde a Prolat, maintainer già da tempo al centro di critiche legali per attività di typosquatting. In effetti, la mera attività di typosquatting non dovrebbe essere illegale, perché si tratta della registrazione di un nome di dominio come altri. Al massimo, il problema potrebbe arrivare se la società il cui dominio è stato “copiato” volesse acquistare anche i domini simili al suo e di conseguenza si entrerebbe in un affare privato.
In questo caso, però, l’attività di typosquatting è legata ad un’azione di diffusione di malware. I domini hijackati, infatti, rimandano ad un unico server ospitato negli Stati Uniti da SOFTLAYER TECHNOLOGIES INC (Indirizzo IP: 75.126.144.219). Da qui, sono due i siti web che vengono richiamati, automaticamente oppure necessitano di intervento manuale, cioè 64.202.120.142 e 216.120.252.191. Senza indagare ulteriormente con whois vari, i siti sono comunque ospitati anch’essi negli Stati Uniti.
Al momento, una variante lì ospitata bypassa molti software antivirus conosciuti: solo Prevx, Kaspersky (e derivati dall’engine russo), Avira, BitDefender, AVG, OneCare, Sophos e Norman intercettano questa variante – sebbene non sia tanto questo il problema (le altre società aggiorneranno a breve), quanto piu che altro la continua e incessante attività che sta dietro a questa famiglia di malware, sempre aggiornati per bypassare le difese standard degli utenti.
Da quello che sembra, dietro questo malware c’è più di un ragazzino con voglia di fare danni. Ma a noi sta il compito di tentare di difendere gli utenti con i mezzi informatici, ad altri il compito di indagare ed arrestare se possibile gli autori materiali.
bravo il nostro terrorista e utilizzatore di FUD
Nod32 non lo intercetta. Se continua di questo passo lo cambio con antivir full
L’avevano gia’ fatto tempo addietro. I domini sono molti, ma MOLTI di piu’… vedi:
groups.google.com/group/it.comp.sicurezza.virus/msg/e0523d3a6ff238cd
si l’avevo visto, ne ho elencati un po’
Marco lo immaginavo… non era una critica eh.
Semplicemente per specificare x chi leggeva l’articolo… sarebbero tutti da bloccare…
tranquillo
non me la sono mica presa 
Era per dire che avevi ragione 
Francamente speravo che questi domini fossero stati forzatamente chiusi tutti quando era venuta fuori la cosa (furono in parecchi a notarlo)… evidentemente non era cosi’… sono anni che vanno avanti indisturbati ormai.
Ciao, l’indirizzo riportato è palesemente tarokko, quantomeno non c’entra nulla con la Germania ma come si può dedurre dalle prime due lettere del C.A.P. LV si riferisce alla Lettonia (o Latvia).
Daugavpils è indatti una cittadina lettone, ha anche un sito
http://www.daugavpils.lv/
Un saluto a tutti e complimenti vivissimi a Marco per la battaglia che svolge ogni giorno contro queste minacce, a vantaggio di tutti!
Ciao,
ti ringrazio dei complimenti
e soprattutto ti ringrazio per l’ottimo intervento, sinceramente non avevo ancora indagato sulla veridicitá dei dati personali 
Ottimo, una informazione in piú 
Ciao!
Marco
la mia carta postepay è stata truffata per 55 euro sabato 26 con un messaggio spam, al quale ho ceduto, dopo avere controllato il mittente: info@posteitaliane.it. la carta è stata subito bloccata dalle poste, ma senza alcuna spiegazione; 20 minuti di attesa al telefono dell’assistenza, e probabilmente non recupererò il denaro. peccato che le poste non rispondano alle domande di chiarimento.
Lorenzo, il mittente SMTP (a parte qualche raro caso) si puo’ falsificare a piacimento. Anche tu stesso potresti mettere “info@posteitaliane.it” come mittente…
Ciao Lorenzo,
nel modo più assoluto non bisogna mai e poi mai rilasciare credenziali di accesso della propria carta di credito sia per quanto riguarda le poste sia per qualsiasi istituto di credito.
Nessun ente di credito può richiedere informazioni di accesso private per email.
Si ritiene che molte siano state le carte rubate e appartenenti a Poste.it (in particolare postepay).
Per qualsiasi dubbio nel caso accidentalmente abbiate rilasciato informazioni sensibili di questo tipo, è importante che avvisiate immediatamente il vosto istituto di credito (poste,banca…) esponendo il problema e in caso di forte dubbio è consigliabile bloccare la carta immediatamente soprattutto quando si tratta di carte che si riferiscono al vostro conto diretto.
Ciao a tutti
Rossano
Ankio ho avuto questo problema digitando male google ma come faccio a levarlo sono in una paranoia disumana!HELP!!!!!1
se tutti avessero un browser e un sistema operativo decente si potrebbe capitare – per sbaglio – ovunque senza infettaresi e alimentare quel inutie ed immorale giro del fumo dell’assietnza tecnica per gli utonti M$oft
… o peggio impegnare risorse per smasckerare giovani con voglia di fare danni.. certo a questo punto è necessario proteggere gli utenti, ma IMOHO bisogna puntare soprattutto sull’informazione si quali strumenti usare (chi non sta pensando a linux ? )