Si diffonde malware localizzato

Secondo l’ultimo rapporto di McAfee Avert Labs pubblicato nel mese di novembre 2007, i cybercriminali stanno creando attacchi sempre più sofisticati anche in lingue diverse dall’inglese allo scopo di sfruttare applicazioni diffuse a livello locale e incrementare i loro profitti. In base ai dati di Avert Labs, il tasso di crescita di malware e vulnerabilità è raddoppiato nel 2007 rispetto al 2006. In un solo giorno del mese di novembre 2007, McAfee Avert Labs ha raccolto campioni di malware di sei diversi paesi del mondo.

In ambito malware, il social engineering si può suddividere in due categorie: paura e solleticamento. Vi sono numerosissimi argomenti di portata universale in entrambe le categorie, la cui efficacia è limitata   esclusivamente dalla comprensione della lingua in cui il messaggio viene inviato. Argomenti quali sesso, curiosità o imbarazzo (ad esempio, immagini di nudo, di se stessi o di altri) trascendono le barriere culturali. La principale considerazione da fare è se l’oggetto è sufficientemente interessante per la vittima del social engineering. Il fascino della cultura pop Americana oltrepassa i confini nazionali. Anche se i nomi delle star di Bollywood, europee o cinesi non sono affermati in tutti i paesi del mondo, chi non conosce celebrità quali Britney Spears o Angelina Jolie? Le probabilità che un utente venga adescato da social engineering incentrato su tali soggetti sono più legate alla sua capacità di comprendere la lingua dell’e-mail o del messaggio di MI.

D’altro canto, a causa delle dimensioni del paese e dell’atteggiamento un po’ isolazionista di molti dei suoi abitanti, gli Stati Uniti hanno sempre dimostrato scarso interesse nella cultura o nella politica internazionale. Tentativi di social engineering incentrati su interessanti eventi socio-politici di altri paesi verrebbero molto probabilmente ignorati negli Stati Uniti, mentre tutto il resto del mondo sarebbe sicuramente interessato
alla notizia della morte di un presidente americano (notizia utilizzata da W32/Nuwar@MM nella sua e-mail iniziale). 

Il fattore paura viene invece scatenato da bounce e altri messaggi di errore. I messaggi di bounce, in  particolare, sono un fenomeno universale; ormai qualsiasi provider Internet notifica gli utenti quando un messaggio non arriva a destinazione. Finché gli utenti crederanno a ciò che sembra un messaggio di bounce a tutti gli effetti, questo tipo di exploit potrà attaccare in qualsiasi paese. Esiste almeno un caso in cui il social engineering deve adottare una strategia basata sul paese di destinazione: quando falsifica
messaggi provenienti da enti governativi. Chiunque negli Stati Uniti sarebbe allarmato nel ricevere un messaggio e-mail che sembra provenire dall’IRS (ufficio delle imposte americano), ma la stessa tattica non funzionerebbe in altri paesi. Questa categoria di social engineering è sicuramente diffusa, ma è
raro che nell’arsenale di un autore di virus si trovi solo questo tipo di trabocchetto. La maggior parte degli attacchi massivi di virus attraverso la posta elettronica contiene una varietà di testi
possibili e quella del corpo del messaggio è solo una delle tante varianti. W32/Sober@MM!M681 ne è un perfetto esempio: questo virus include e-mail apparentemente inviate da CIA e FBI, messaggi su Paris Hilton e Nicole Richie, tre mail in tedesco e altre incentrate su una serie di tattiche diverse.

Fra questi possiamo includere W32/Caffer@MM individuato da Mcafee e da Eset Win32/TrojanDownloader.Agent.LYG individuato il 21 febbraio. E in corso un nuovo virus che si comporta esattamente come il precendente  individuato da me medesimo il 24 aprile 2008, ne Mcafee ne Nod32 hanno hanno individuato subito il virus,  che e si comporta come segue: 

Arriva tramite mail come quella in figura esattamente com in figura indicante infrazione per eccesso di velocità o divieto di sosta:

Il file allegato contiene i seguenti file:

  • Reader-x.exe oppure LettoreImmagini.exe    38.493 byte (eseguibile Troian)
  • Modulo Contestazione.txt               73 byte
  • Sanzione.txt                                    73 byte

I due file txt vi è presente questa dicitura – Impossibile legere il file, ultizzare “Reader-x” contenuto nella cartella – nell’handler del file cosi come scritto con l’errore di ortografia legere invece di leggere cosi da inganare l’utente ad aprile il Troian vero e proprio.

Ad oggi  Eset lo Individua come Win32/TrojanDownloader.Agent.NYF Mcafee non lo ha ancora individuato. ma sicuramente in entro un breve lasso di tempo avrò la risposta da AvertLabs.

19 maggio 2008

Nuova variante e-mail worm, con nuovo testo ed e-mail e nuovo allegato:

Oggetto: Che casino adesso che facciamo???

Testo: Volevo ringraziarti per la bella figura che mi hai fatto fare…
Mi chiedo solo se dovevi arrivare a questo!!!
Quando ci vedremo ne parliamo a 4 occhi…

Per colpa tua mi è arrivato a casa questo.
Vedi foto in allegato

Allegato:

  • foto.zip
  • foto.zip contenente Canon_DSC034.exe (Win32/TrojanDownloader.Agent.NYF )

———————

4 risposte a Si diffonde malware localizzato

  1. renato scrive:

    purtroppo , in un momento di distrazione ho scaricato il virus reader-x.exe sul mio pc …..ora sto cercando di eliminarlo ma non ci sono ancora riuscito. Si è insediato nel file di sistema e nonostante NOD32 aggiornato, non riesco ad eliminarlo. Potreste cortesemente darmi qualche dritta su cosa fare? Ho provato anche in modalità provvisaria ma non ci sono riuscito…….aiutooooo please

    ps: il virus è stato installato il 2 maggio…..ma non ho riscontrato effetti collaterali strani…..è normale?? che tipo di danni mi può arrecare??

    Grazie in anticipo

  2. nickfree72 scrive:

    Non puo arrecare danni particolari ma caso mai essere veicolo per altri virus o spyware. dovresti avre in memoria un file chiamato reader-x.exe terminalo e ripeti la scansione. se non riesci posta ancora e lo facciamo da remoto…

  3. danymanz scrive:

    Purtroppo ho anch’io questo virus sul mio pc e anch’io non riesco a toglierlo, ho utilizzato sia Avast che che spywarefighter, ma senza successo, ho cercato il processo reader-x.exe nei processi attivi ma non l’ho trovato, perquanto con la scansione di Avast mi trova questo virus nelle mie cartelle personali di Outlook. Purtroppo questo mi causa problemi con la ricezione della posta, che una volta tentato di scaricarla, non solo non me la scarica (da un solo indirizzo dei 4 che ho configurato in outllok) ma non riesco a vederla più neanche sul web. HELP!!!!!!!

  4. nickfree72 scrive:

    Credo che tu abbia non solo Reader-x.exe, ma anche qualche altro tipo di Virus, ben nascosto, tipo rootkit, il virus di perse non reca danno ma, è fonte di arrivo per nuovi Virus, infatti è individuato come Troian Downloder da NOD32.
    Prova ha effettauare una scansione online da:
    http://it.mcafee.com/root/mfs/default.asp
    e poi rimuovi Avast e Installa la demo di NOD32 per 30 Giorni http://download.eset.com/eval/win/v2/nentitst.exe
    Dopo averlo installato aggiornalo manuale più volte, la demo alcune volte non si aggiorna subito dopo l’installazione.
    PS: Cambai antivirus per soli 50 euro all’anno, avrari meno problemi… leggi il mio post su antivirus gratuiti ti spiego semplicemente il perchè.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: