Questa mattina molti italiani hanno ricevuto, o stanno ricevendo, una sedicente e-mail nella quale vengono intimati da un sedicente studio legale di smettere di inviare worm altrimenti verranno denunciati. L’e-mail, che recita più o meno queste parole:


Gentile utente ,

sono l’avvocato Gianluca Gentili proprietario dell’omonimo studio Legale,
mi trovo costretto a riscriverle perchè continuano ad arrivarmi
dal suo indirizzo di posta elettronica
messaggi dal contenuto esplicito.
La rimando a tal proposito a verificare l’ultimo arrivato,
che riporto sotto a questo messaggio.

Non sono un esperto in materia, tuttavia il sistemista del nostro
studio sostiene che questi invii da parte sua sono probabilmente
involontari e causati da un virus informatico.
Dice inoltre che è possibile rimuovere questo worm con il programma antivirus
scaricabile dall’indirizzo .

Io non ho nè le competenze nè il tempo per verificare l’esattezza
di questa teoria, purtroppo mi trovo cosgretto a DIFFIDARLA dal
continuare questi invii non sollecitati alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò
a denunciarla senza ulteriore avviso.

Sospenda questi invii o, se si tratta di un virus worm,
ripulisca il suo computer al più presto perchè forse
non sono l’unico che sta ricevendo questa immondizia da lei.

Le ricordo che i reparti di polizia informatica hanno i mezzi
per risalire alla vera identità del proprietario di
un indirizzo email, per quanto registrato con dati inventati o
internazionale. Per cui non creda di poter continuare
a inquinare la mia casella email con queste promozioni.

in attesa di un suo cortese riscontro,
saluti cordiali

L’e-mail invita l’utente a scaricare un tool di rimozione collegandosi al sito notmorespyware.biz (il sito è ancora attivo, è sconsigliabile collegarsi all’indirizzo qui citato!). Il sito, che espone numerosi riconoscimenti a livello nazionale e internazionale, invita l’utente a scaricare il removal_tool.exe. Esistono altri link attivi, tra i quali TenKillerDirect.biz.

Il file, tuttavia, non è altro che un trojan.spambot che installa un BHO, una libreria dinamica all’interno della directory di sistema di Windows:
C:WINDOWSsystem32webdesk.dll
.

Prevx1 è aggiornato da questa mattina per la prevenzione, l’individuazione e la rimozione di questa infezione. Gli utenti di Prevx1 sono quindi attualmente protetti.

Per chi non utilizza Prevx1, l’ottimo Paolo Monti di Future Time ha creato un cleaner per la rimozione automatica di questo trojan. Il cleaner può essere scaricato a questo indirizzo.

Per eventuali aggiornamenti modificherò direttamente questa news aggiungendo altre informazioni.

*** UPDATE ***

Mi scuso per gli aggiornamenti sporadici – anzi praticamente quasi nulli – ma torno su questa infezione ogni quando ho un minuto di tempo libero e durante questi giorni sto dormendo 2/3 ore a notte – il che lascia immaginare il tempo libero che ho.

Removal_tool.exe è compresso con UPX e modificato per evitarne una decompressione diretta. Una volta lanciato, il trojan controlla se l’account e-mail presente nel pc che si sta infettando contiene una delle seguenti stringhe nel dominio:

police.it
poliziadistato.it
polizia-penitenziaria.it
polstrada.it
poliziamunicipale.it
polmunicipalemartina.it
munipol.it
polizia.it
carabinieri.it
carabinieri-bellinzona.com
carabinieri.net
interno.it
uilinterno.it
mininterno.it
nsd.it
admi.it
concorsi.it
esteri.it
codacons.it
punto-informatico.it
clusit.it
criminologia.org
diritto.it
agcom.it
attivissimo.net
serviziinformazionesicurezza.gov.it
sisde.it
governo.it
palazzochigi.it

In caso il controllo sia positivo, il trojan non prosegue nell’installazione della dll webdesk.dll. In caso negativo, la dll viene installata nel sistema e viene registrata come BHO, iniettata al successivo riavvio in explorer.exe. La dll è integrata nel removal_tool.exe, in una parte del codice del trojan ed è anch’essa compressa con UPX. Una volta effettuato questo controllo – sia stata la dll installata oppure no – il trojan mostra una schermata dal titolo Virus Killer 5.1 e dal messaggio: Avviare la scansione virus?. Se si clicca su Sì, il programma va in attesa per 5000ms, dopo i quali darà come risultato o
Non sono stati rilevati virus
o
Sono stati rimossi i seguenti virus: Evil mailer 1.0.87.

Per successivi aggiornamenti appena ho un altro minuto libero, scusate 🙁

*** UPDATE ***

Un’analisi più approfondita è disponibile QUI