Non é mai troppo piacevole iniziare la settimana con un nuovo caso “phishing” accompagnato da infezione da malware.

Tuttavia sembra che si stia diffondendo un altro caso di infezione facente parte della giá nota famiglia dei partecipanti a gooogle.bz. Questa volta l’e-mail che invita l’utente a curiosare risulta veramente ben fatta, si nota come gli autori siano quasi sicuramente italiani visto che utilizzano un argomento ben noto alle cronache italiane e che tutti hanno almeno una volta sentito ai telegiornali.

Il testo dell’e-mail recita cosí:

Ciao Frank,

Avevi ragione ci sono riuscito ! l’ ho filmata con il cellulo giù nello stanzino dei bidelli

Guardati il filmato poi decidiamo se fare un sito che diventa famoso

Giorgia è la quinta essenza della maiala …madò

buon divertimento

ciao bello

Maiki

Come si nota, l’email fa riferimento ai tanti casi di video pornografici registrati nelle scuote italiane con i cellulari. Un utente poco esperto potrebbe cadere nella trappola mentre un utente mediamente esperto dovrebbe accorgersi della truffa.

Il server che ospita l’infezione, il cui indirizzo IP é 203.171.233.142, risulta localizzato in Cina, nella regione di Guizhou.

Il file si chiama 004-Giorgia.avi.exe, dalle dimensioni di 32.504 bytes. Dal sito tuttavia viene tentata anche l’esecuzione di un controllo ActiveX. In realtá il file, denominato X-ReadPlugin.exe, é l’identica copia del malware precedentemente nominato.

Interessante, il sito che ospita il malware tenta di essere il piú credibile possibile, fornendo informazioni che sembrerebbero autentiche:

Software 100% esente da virus grazie a Norton Antivirus & Internet Security

© Copyright 2007 X-Read | Condividi foto e filmati dal tuo telefonino
Tutti i diritti riservati. X-Read S.r.l. V.le Montefiore, 45A Frascati- ROMA
Tel. +39 06 943898 Email: info@xread.biz

Una volta eseguito, il file si comporta piú o meno esattamente come il vecchio trojan famoso a Dicembre e di cui un’analisi é disponibile qui.

Le uniche differenze sono il file creato

c:WINDOWSsystem32winsvcsvccftmon.exe

e un incremento dei siti web nocivi che vengono aggiunti nell’elenco dei siti attendibili, che ora sono:

playmore.biz
sextriere.com
secureappz.com
xread.biz
senzatempo.biz
phishnigfix.biz
preferiti-windows.com
ricercadoppia.com
gooogle.bz

Per il resto l’analisi resta la stessa, cosí come resta la stessa la procedura di rimozione giá mostrata nell’analisi precedente – facendo cura a sostituire il nome del file con quello nuovo ovviamente.

La componente dialer, due numeri 899 e 892, sono assegnati a Wind Telecomunicazioni e Karupa S.p.A (il cui cliente é Telegest Service s.r.l.).

Ringrazio Fabrizio per la segnalazione.