Se non è la municipale, è la polizia…

Se non è la polizia municipale a multarci è la volta della polizia, con un’e-mail alquanto bizzarra e che lascia intendere l’uso di un traduttore online dalle scarse qualità tecniche.

L’e-mail che sta circolando in queste ore recita come segue:

Avviso
Sono capitano della polizia Prisco Mazzi. I rusultati dell.ultima verifica hanno rivelato che

dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d.autore e sono stati
scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la
responsabilita amministrativa.

Il suo numero nel nostro registro e 00098361420.

Non si puo essere errore, abbiamo confrontato l.ora dell.entrata al sito nel registro del
server e l.ora del Suo collegamento al Suo provider. Come e l.unico fatto, puo sottrarsi
alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti
d.autore.

Per questo per favore conservate l.archivio (avviso_98361420.zip parola d’accesso: 1605)
allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l.accordo
che si trova dentro.

La vostra parola d’accesso personale per l’archivio: 1605

E obbligatorio.

Grazie per la collaborazione.

Senza soffermarci oltre, è chiaro che si tratta di un tentativo di social engineering per convincere l’utente ad aprire il file e a visualizzarne il contenuto. L’e-mail contiene infatti un allegato protetto da password, denominato per l’appunto avviso_98361420.zip. Una volta decompresso, l’archivio contiene il file UFFICIALMENTE_ACCORDO.exe, compresso con UPX e dalle dimensioni di 4656 bytes.

Il file è un Trojan.Downloader che, una volta controllata l’assenza di debugger, inietta il proprio payload all’interno di svchost.exe e scarica un dialer, denominato msupdate.exe, dall’indirizzo IP: 213.180.199.7. In questo caso, trattandosi di un hoster russo abbastanza famoso, bloccare l’accesso a questo indirizzo IP potrebbe significare bloccare l’accesso ad altri siti possibilmente utili. Un esempio è il sito web del noto software antirootkit Rootkit Unhooker, ospitato sempre sui server Yandex (il portale che fornisce il servizio di free hosting Narod). In questo caso il sito del software antirootkit è ospitato su un altro IP, era tuttavia un esempio per comprendere che bloccare l’accesso ad un IP di uno dei più grandi hoster russi potrebbe creare disagi.

Il dialer, dalle dimensioni di 47104 bytes, può effettuare chiamate ai seguenti numeri:

8991614** Voiceplus S.r.l
8991030** Karupa S.p.A
008819391004** Numero satellitare

Crea il seguente file:

C:\WINDOWS\system32\msmmi.exe

E le seguenti chiavi di registro:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    msmmi” = C:\WINDOWS\system32\msmmi.exe

  • HKEY_LOCAL_MACHINE\Software\msmmi\

    • Scritto il 16 Maggio 2007


    17 Responses to “Se non è la municipale, è la polizia…”


    1. Accodati.com » Attenzione alle false mail dalla Polizia di Stato
      Maggio 16th, 2007 at 14:07

      […] L’e-mail in realta’ contiene un allegato protetto da password (per bypassare i filtri antispam), “avviso_98361420.zip” che, se decompresso, porta alla luce un altro file, “UFFICIALMENTE_ACCORDO.exe”. Siamo di fronte ad un Trojan.Downloader che scarica immediatamente un dialer, denominato msupdate.exe. Ulteriori informazioni sono disponibili su PC al sicuro a questo indirizzo, nel quale vengono spiegati i meccanismi di funzionamento. […]


    2. TNT
      Maggio 16th, 2007 at 16:10

      Cercando Voiceplus S.r.L., viene fuori (sorpresa delle sorprese):

      http://www.eutelia.it/tlc/images/stories/informativafin/bilancio311206.pdf

      Dato che la Polizia Postale “sta cercando i responsabili” (secondo i giornali), forse dovrebbe iniziare a cercare da quelle parti, visto anche che da ANNI Eutelia usa trojan-dialer di legalita’ quantomai dubbia.


    3. Sbronzo di Riace
      Maggio 16th, 2007 at 16:43

      Gli stessi errori di ortografia lettere accentate mancanti, mancanza dell’apostrofo (esempio dell.ultima) sostituito da un puntino.

      Stesso traduttore automatico o stessa gang? O tutte due le ipotesi?

      http://altagradazione.blogspot.com/2007/05/benvenuto-in-bancopostaonline.html


    4. Giovanni
      Maggio 16th, 2007 at 16:55

      Quello che mi fa ridere, scusate, che tutti citano attivissimo negli articoli quando non dice assolutamente niente dell’attacco. Qui sta scritto cosa fa, cosa crea, come difendersi, ma non lo cita nessuno!!!!! questo lo trovo veramente comico :) Continua su questa strada Marco, tu sei utile veramente…e la polizia sta indagando ancora su cosa faccia questo trojan sul pc (letto su alcuni articoli online)….


    5. TNT
      Maggio 16th, 2007 at 17:11

      Giovanni, piu’ che comico io direi che e’ triste… :(

      Attivissimo mi sta anche abbastanza simpatico, ma come divulgatore prettamente informatico a volte lascia a desiderare.


    6. TNT
      Maggio 16th, 2007 at 21:03

      http://www.ampletech.net/news/webnews/1069/truffa-online-arrestato-un-falso-poliziotto.html

      E’ credibile? Io dico di no… :(


    7. Marco
      Maggio 16th, 2007 at 21:15

      A me sembra molto strano, non ho fonti che mi confermino la cosa…però tutto può essere :)


    8. m4v3rick
      Maggio 17th, 2007 at 10:31

      Per quanto riguarda chi c’è dietro i dialer un’occhiata la potete dare al mio blog maipiugromozon.blogspot.com


    9. juninho85
      Maggio 17th, 2007 at 17:13

      un mio collega ha scaricato ed eseguto l’allegato in questione,però non vi è nessuna traccia delle chiavi citate da marco(che saluto ;) )nè dell’eseguibile.
      stasera saprò darvi più info


    10. Marco
      Maggio 17th, 2007 at 17:19

      In caso manda l’eseguibile iniziale tnx :)


    11. gianluca
      Maggio 17th, 2007 at 19:15

      anche nell’ufficio dove lavoro lo hanno aperto: un computer non ha accesso ad internet quindi non può aver fatto danni ma in altri 2 che invece hanno il permesso ad internet, lo hanno aperto, ma nessun atraccia nè chiavi registro nè msmmi, ho fatto un adawarata e hijackthat ma niente qlc che ne sappia qlcosa faccia sapere grazie. ciao


    12. juninho85
      Maggio 18th, 2007 at 09:41

      niente eseguibile marco,il mio collega aveva già pulito le cartelle temporanee di win(avast non rilevava nulla,dunque non saprei dirti il nome esatto del malware).
      nel mio caso si trattava soltanto di un controllo activex che reindirizzava le connessioni a un deposito di dialer (estara.com o qualcosa di simile,ora non ricordo).
      ecco le chiavi di registro da eliminare:
      HKEY_CLASSES_ROOT\CLSID\{65FDEDF3-8ED9-4F5B-825E-18C2D44191A7}
      HKEY_CLASSES_ROOT\OneCC.OneCCCtl
      HKEY_CLASSES_ROOT\OneCC.OneCCCtl.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{65FDEDF3-8ED9-4F5B-825E-18C2D44191A7}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OneCC.OneCCCtl
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OneCC.OneCCCtl.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{65FDEDF3-8ED9-4F5B-825E-18C2D44191A7}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/OneCC.dll
      questi i files:
      C:\WINDOWS\Downloaded Program Files\OneCC.dll
      C:\WINDOWS\Downloaded Program Files\OneCC.inf


    13. juninho85
      Maggio 18th, 2007 at 09:53

      ecco il sito esatto a cui reindirizzava l’activex:
      d.66.155.171.52.downloads.estara.com./as/OneCCDM.php?template=613&sessionid=1489726791_66.155.171.52_54039&=&
      req=1150154141384OneCC.cab


    14. anonimo
      Maggio 18th, 2007 at 18:41

      Tutto bene ed utile ed a completamento evidenziamo che con Linux, qualsiasi distribuzione si stia usando, mail infette simili a questa del nostro amato Prisco Mazzi et similia non costituiscono assolutamente un problema.


    15. federico
      Maggio 18th, 2007 at 19:11

      il malware e’ Mal/Clagger-D (Sophos) Trojan-Downloader.Win32.Zlob.bqy (Kaspersky) Trojan.DL.Zlob.BZP (VirusBuster) Trojan.Downloader-6805 (ClamAV) Trojan.Downloader.Agent.BEJ (BitDefender) W32/Zlob.AHMS (Norman) Win32:Nurech-AF (Avast) .
      disabilitando il ripristino di sistema e eliminando le voci di registro citate da marco si cancella il dialer ma resta l’infezione in”C:\Documents and Settings\Keig\Impostazioni locali\Temporary Internet Files\Content.IE5\S96VWL23\avviso_98361420\UFFICIALMENTE_ACCORDO.exe Infetto da Trojan.Win32.Small.QO”.come debellarlo del tutto manualmente?!?!?


    16. federico
      Maggio 18th, 2007 at 19:13

      dimenticavo….il dialer non si ricrea(strano perche’ veniva scaricato dal malware ancora presente) neanche al riavvio e temevo che alla prima connessione…….


    17. donatella
      Giugno 12th, 2007 at 08:46

      chi mi può aiutare a debellare un dialer che si manifesta come passepartout - ho provato ad eleminare le varie applicazioni consigliate ma si ripresenta ogni volta, mi ha pure creato un ‘indirizzo di posta in out-look. quando mi collego con l’adsl dopo 10 minuti la linea cade a si insinua questo passepartout che mi collega in automatico ad un sito : bona-stto…. non riesco più a togliere da Windows da il simbolo di ineternet, mi dice che il disco è pieno e l’applicazione potrebbe essere in uso Help

    Lascia un commento

    « Il nostro PC è al sicuro? Non secondo il Trojan Hijacker
    Next: BITS - tornando sull’argomento »