PDA

Visualizza versione completa : Si diffonde Zelig, worm italiano?


IrONia
24-10-2003, 21.48.28
UNA EMAIL SOSPETTA
------------------

Nelle ultime ore si sta diffondendo sempre di piu' sulla rete italiana un messaggio di posta elettronica in italiano che invita a scaricare uno screen saver (salva schermo) di Zelig, la popolare trasmissione televisiva.

Sono pero' diverse le ragioni che inducono a ritenere che si tratti di un worm, se non anche di un trojan: prima fra tutte il testo del messaggio, sempre uguale e l'indirizzo del mittente dell'email, sempre diverso.

Gli esperti sono tuttora al lavoro per capire quali siano con esattezza gli effetti del file una volta aperto. SalvaPC consiglia di non scaricare il file sul proprio computer prima che i tecnici abbiano concluso le loro analisi.

Di certo in questo momento nessun antivirus e' in grado di individuare questo file come un worm.

COME RICONOSCERE IL MESSAGGIO INFETTO
-------------------------------------

Come detto, il mittente dell'email e' sempre diverso e potrebbe corrispondere all'email di un utente che e' stato colpito dal worm. Il soggetto del messaggio e' invece sempre lo stesso: Il momento e' catartico.

Nel corpo del messaggio si trova sempre lo stesso testo:

Ricevo e cortesemente inoltro,.... un premio per la genialita'
hanno reso mitico un salva schermo scaricalo, poesie catartiche, che non sai cosa ti perdi ciao

Dove "poesie catartiche" e' linkato ad una pagina accedendo alla quale viene richiesto di scaricare il file sospetto.

UN SITO SPARAVIRUS?
-------------------

Senza biosgno di ulteriori click, accedendo al sito viene richiesto lo scaricamento di Zelig.scr.

Sul sito, francescone.com/index.html, si trova una sola frase: Il momento e' catartico... per parafrasare un noto comico di ZELIG !!!

COME COMPORTARSI
----------------

Al momento la cosa migliore da fare e' evidentemente evitare di aprire o scaricare il file o, ancor meglio, di recarsi sul sito pubblicizzato dalle email infette.

Nelle prossime ore e' probabile che i maggiori produttori di antivirus metteranno a punto aggiornamenti specifici per individuare e bloccare il probabile worm. E' anche possibile, anche se appare per ora improbabile, che si tratti di una bufala ben organizzata.




ciaoo:D:D:D

TyDany
24-10-2003, 23.51.34
Giusto oggi ne sono arrivati a un paio di utenti in ufficio, per fortuna oramai li ho catechizzati a dovere e prima di aprirlo mi hanno chiamato. Ho eliminato la mail e amen... vediamo un pò, intanto tengo sottocchio i vari siti tipo symantec ecc ;)

IrONia
27-10-2003, 14.11.47
PROBLEMA OSCURATO
-----------------

Il sito dal quale veniva diffuso il worm e' stato chiuso, impedendo quindi a molti di cadere nella trappola tesa nel messaggio di posta elettronica con l'inteno di far scaricare uno screensaver agli utenti.

Si trattava dunque di un worm, come preannunciato da SalvaPC e ora identificato come "Marque.Worm" (o "Voltan").

WORM DIALER
-----------

Oltre ad essere scritto in italiano ed autospedirsi a tutti gli indirizzi email presenti nella rubrica di Windows, una delle funzioni che hanno colpito di piu' e' stata la sua capacita' di modificare le connessioni internet inserendo come numero di telefono un 899, un numero a pagamento.

Nessun problema hanno avuto quanti sfruttano connessioni ADSL ma chi utilizza il modem analogico potrebbe essersi connesso a pagamento. SalvaPC raccomanda quindi di controllare le proprie connessioni a Internet qualora si fosse rimasti vittima del software e casomai, bolletta alla mano, effettuare una denuncia alla Polizia Postale.


bene;)


ciaoo:D:D:D

Giorgius
27-10-2003, 14.51.40
di Paolo Attivissimo

Stanno cominciando ad arrivare segnalazioni di lettori che ricevono un curioso messaggio, che sembra un e-mail inviato da un organizzatore di siti porno a un suo collega per avvisarlo che il sito è per errore accessibile a tutti.

L'oggetto dell'e-mail è "U n a t r a g e d i a ", scritto proprio così, e il messaggio inizia con "Francooooooooooo.... Un disastro ..ho spedito la nostra newsletter pero' ho notato che passano delle email che io non ho mai visto ma sei sicuro che B non abbia problemi ??? comunque io saro' a foligno per questa settimana devi assolutmante chiudere gli accessi alle modelle perche sono rimasti aperti ..ci si puo0 connettere gratis...chi vuole capisci !!!"

A questo punto il messaggio avvisa che ci sono due siti (http://tangui.tripod.com.br e http://spanish.tripod.com.br) che vi esorto a NON visitare. Presso questi siti, a detta dell'e-mail, "si entra se clicchi ok sul certificato ..entri e basta in piu accessi anonimi. Scusami tanto ma mettilo a posto prima che gli utenti lo scoprano."

Ripeto: non precipitatevi a cercare di vedere le presunte modelle accessibili! Caso mai non l'aveste capito, si tratta infatti di uno specchietto per le allodole: un altro esempio molto interessante delle tecniche psicologiche usate dagli spammer truffatori della Rete per ingannare gli utenti.

Visitando i siti citati, infatti, trovate un link (intitolato ingannevolmente "SE il software per chattare non parte proviamo da qui spara QUI") che consente di scaricare un programma, denominato "senza_password.exe", che ha tutta l'aria di essere un dialer, a giudicare dal contesto equivoco e dalla presenza di diciture eloquenti come "WARNING YOU MUST BE EIGHTEEN" ("attenzione, devi avere diciotto anni") all'interno del programma, come risulta da un rapido esame con un editor esadecimale.

Lo stesso esame rivela che il programma contiene riferimenti a un sito inesistente (http://www.esopa.com/) e alla "Metalnov Construct Srl" oltre che alla Thawte Consulting (società che genera certificati digitali che dovrebbero garantire la genuinità del software).

Qualunque cosa sia, insomma, è sicuramente robaccia da evitare assolutamente. In sintesi: non visitate i siti citati, non scaricate il programma, e di certo non eseguitelo. L'e-mail truffaldina è in sé innocua: cancellatela e basta.

Non abboccate, mi raccomando!
Paolo Attivissimo
PortaZero.info

IrONia
27-10-2003, 21.51.41
o maronna.......:D:D:D