San Valentino si avvicina e qualche malware writer ha ben pensato di fare un regalo a tutti gli utenti italiani, con una bella e-mail. Come era giá avvenuto a Dicembre, stanno girando su internet delle false e-mail di auguri.

L-email attuale – ma ne esistono più varianti attualmente diffuse – riporta:

OGGETTO: Non ti dimenticheró mai

MESSAGGIO:

ciao!

un pensierino per San Valentino
http://go.xxxxx.com/cacas

poi fammi sapere se ti è piaciuto

L’e-mail può contenere un allegato, un file con estensione .asx (esempio videoamore.asx o sanvalentino.asx), o altrimenti – come illustrato sopra – un link a cui collegarsi.
Il sito raggiunto dal link reindirizza ad un server tedesco dai molteplici domini (quali per esempio myfilmcodec.com, mymoviecodec.com) ma stesso indirizzo IP che raccomando di bloccare: 89.149.225.25.

Dal server viene scaricato il file .asx sopra illustrato che apre Windows Media Player. Dal player viene chiesto il download di un codec mancante, che tuttavia non trattasi di un codec ma di un malware.

Analizzato, il malware è esattamente parte della famiglia del vecchio Trojan.Spambot italiano, di cui si era già parlato su queste pagine lo scorso Novembre e Dicembre. Anche il codice, ritoccato per eludere le protezioni dei software antivirus, risulta comunque lo stesso.

Risulta dunque valida l’analisi che era stata già fatta di questo trojan lo scorso dicembre a QUESTO INDIRIZZO, cambiano esclusivamente le chiavi di registro create che risultano essere:

HKEY_CLASSES_ROOTCLSID{AD42064f-2C53-CB42-1263-6A7F24C2B819}
HKEY_CLASSES_ROOTInterface{BDA8125F-55CA-4168-6D9A-168E76C11ABD}
HKEY_CLASSES_ROOTTypeLib{8E28DE0A-6A2E-4CB8-BBF0-BD131DC1A3B4}
HKEY_CLASSES_ROOTWebDesk.webq

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
Browser Helper Objects{AD42064F-2C53-CB42-1263-6A7F24C2B819}

Finita l’esecuzione, il trojan mostra una messagebox come quella mostrata qui sotto:

Per la rimozione è sufficiente chiudere – se aperto – Internet Explorer ed eliminare il file C:WINDOWSsystem32webdesk.dll ed eliminare le chiavi di registro sopra elencate.

Per il resto è possibile leggere l’analisi che ho linkato sopra.

Come già è stato commentato nella notizia, posso confermare che il sito è raggiungibile solo da IP italiani, mentre gli IP esteri ricevono una “page not found“. Ho fatto questo breve video – dalla qualità tutt’altro che eccelsa – in cui si vede la prima volta la connessione al sito sotto accusa con un IP italiano, mentre la seconda volta con un IP americano. La seconda volta il sito risulterà irraggiungibile.

Come questo team ci ha già insegnato lo scorso Dicembre, nei prossimi giorni probabilmente assisteremo ad un’invasione di massa di questo trojan con nuove varianti giornaliere.