Riprendo e aggiorno un’analisi che avevo fatto qualche giorno fa riguardo un caso di spam che si stava diffondendo nelle e-mail degli italiani. Ora, a quanto posso vedere dalle statistiche del sito, si é diffuso.

Il tutto deriva da una intimidatoria e-mail nella quale una societá, Acqua di Rose S.p.A, avverte che una fattura da circa 300 euro non é stata pagata e va regolarmente saldata. Invita dunque l’utente a connettersi al sito per controllare lo stato della fattura. Sul sito l’ignaro e sprovveduto utente viene invitato a scaricare un programma, A44Hb79PL000120.exe. Ovviamente il programma non é un visualizzatore di fatture inesistenti, bensí un trojan lowzones e un dialer.

Esistono anche altre varianti dell’e-mail, avvocati in rivolta, estorsioni e tante altre fantasiose lettere della “buonanotte” in tal stile.

Una volta lanciato provvederá a creare una copia di sé stesso sul desktop dell’utente e nel menu di avvio di Windows (sotto Start – Programmi). Inoltre verranno creati dei files che altro non sono che dei collegamenti (link) ad altri siti. Questi collegamenti avranno i nomi quali Danni Collaterali.lnk, Poposta Indecente.lnk, Agenda Rossa.lnk, Epson Stylus Photo BN.lnk, Techno Sound.lnk. I collegamenti vengono creati sul desktop, nel menu avvio, e all’interno di alcune sottodirectory della cartella Documenti dell’utente.

In aggiunta, il trojan aggiunge su Risorse del Computer un’icona uguale a quella utilizzata per il Disco locale C:, traendo quindi in inganno l’utente che crede di aprire l’hard disk e invece va ad aprire un link ad un sito web. Per eliminare questa icona basta agire sul registro di sistema di Windows.

Aprire il registro (Start – Esegui – “regedit”) e muoversi alla voce HKEY_CLASSES_ROOTCLSID, cercare dunque la key {7B916F60-CFC7-470a-BEE7-37504CF46CD2}. Una volta individuata, rimuoverla facendo click con il tasto destro e cliccando su “elimina” (oppure agendo con il tasto CANC della tastiera). Fatto ció torniamo su Risorse del Computer, la falsa icona del Disco C: sará stata rimossa, di quello che rimane (un’icona bianca con una x in mezzo) possiamo eliminarlo facendo click con il tasto destro del mouse.

Vengono subito dopo modificati anche i livelli di sicurezza di Internet Explorer, aggiungendo ai siti attendibili i seguenti indirizzi (o alcune varianti in alcuni sample differenti del trojan):

“playmore.biz”
“semeterapia.com”
“tuttaqualita.com”
“gooogle.bz”
“acquadirose.com”
“forteforte.com”
“coppieesibizioniste.biz”

I siti si possono rimuovere aprendo Internet Explorer e andando su Strumenti – Opzioni Internet – Protezione – Siti attendibili – Siti. Viene modificata anche la home page di Internet Explorer, settata dal trojan su gooogle.bz, per il quale rimando ad un’altra analisi presente sul mio sito.

Infine il file tenta di abbattere eventuali connessioni telefoniche con modem analogici facendo chiamate a numeri a pagamento con prefissi 892 e 899.

Tutti i collegamenti creati riportano ad un unico sito, www.scalalap.com, che contiene al suo interno numerose pagine web create ad hoc per ingannare l’utente. Due di queste simulano una cartella di Windows (contenente sotto cartelle dai nomi pornografici) e un falso motore di ricerca Virgilio. Ovviamente, in entrambi i casi, l’utente é invitato a cliccare e scaricherá di nuovo il trojan, o una copia leggermente modificata.

Come detto prima, esistono alcune varianti del trojan. Alcune differiscono per differenti siti che vengono aggiunti tra i siti attendibili di Internet Explorer, alcune non installano il CLSID (e di conseguenza l’icona del Disco locale C: su Risorse del Computer), alcune differiscono per i nomi dei collegamenti che vengono creati sul desktop.

*** UPDATE ***

Un altro possibile CLSID è: {16C7013F-912E-42ac-AA8E-A10A180DFF51}