Mi è pervenuta una segnalazione riguardo una nuova e-mail che nelle ultime ore sta diffondendo una nuova variante del Trojan.Spambot.

L’e-mail recita:

OGGETTO: Buone feste e buon anno con video

TESTO:

Salve a tutti,
vi mando questo pensiero davvero divertente,
con tanti auguri per un sereno natale, buone feste e felice anno nuovo!

auguroni!

Oppure, altra variante, segnalatami ora, recita:

OGGETTO: Video di babbo natale

TESTO:

Gustatevi questo video-gag per natale!
tantissimi auguri!

tanti saluti

L’e-mail contiene l’allegato nata_leperduto.asx, altre varianti riportano il nome nata_le.asx, un file in formato leggibile per Windows Media Player. In realtà, una volta aperto il file, Media Player chiederà di scaricare i codec corretti per la visualizzazione del filmato.

Cliccando per scaricare i codec, verrà scaricato un file dal sito codecsnet.biz, o altri domini quali need-a-codec.biz, tutti riferiti allo stesso server, 89.104.112.81. Il file è una nuova variante del trojan spambot. Il primo avvistamento di questa nuova variante è avvenuto oggi alle 8.39 circa, ora locale.

É cambiato il dropper, cioè il file eseguibile, in modo da renderlo di nuovo non individuabile da parte di molte società di antivirus, sono cambiate le modalità di diffusione, ma il trojan è rimasto sostanzialmente lo stesso. Per l’analisi è possibile guardare QUI.

Questa volta, dopo l’esecuzione del finto codec, il messaggio che compare è il seguente: