Se non è la polizia municipale a multarci è la volta della polizia, con un’e-mail alquanto bizzarra e che lascia intendere l’uso di un traduttore online dalle scarse qualità tecniche.

L’e-mail che sta circolando in queste ore recita come segue:

Avviso
Sono capitano della polizia Prisco Mazzi. I rusultati dell.ultima verifica hanno rivelato che

dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d.autore e sono stati
scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la
responsabilita amministrativa.

Il suo numero nel nostro registro e 00098361420.

Non si puo essere errore, abbiamo confrontato l.ora dell.entrata al sito nel registro del
server e l.ora del Suo collegamento al Suo provider. Come e l.unico fatto, puo sottrarsi
alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti
d.autore.

Per questo per favore conservate l.archivio (avviso_98361420.zip parola d’accesso: 1605)
allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l.accordo
che si trova dentro.

La vostra parola d’accesso personale per l’archivio: 1605

E obbligatorio.

Grazie per la collaborazione.

Senza soffermarci oltre, è chiaro che si tratta di un tentativo di social engineering per convincere l’utente ad aprire il file e a visualizzarne il contenuto. L’e-mail contiene infatti un allegato protetto da password, denominato per l’appunto avviso_98361420.zip. Una volta decompresso, l’archivio contiene il file UFFICIALMENTE_ACCORDO.exe, compresso con UPX e dalle dimensioni di 4656 bytes.

Il file è un Trojan.Downloader che, una volta controllata l’assenza di debugger, inietta il proprio payload all’interno di svchost.exe e scarica un dialer, denominato msupdate.exe, dall’indirizzo IP: 213.180.199.7. In questo caso, trattandosi di un hoster russo abbastanza famoso, bloccare l’accesso a questo indirizzo IP potrebbe significare bloccare l’accesso ad altri siti possibilmente utili. Un esempio è il sito web del noto software antirootkit Rootkit Unhooker, ospitato sempre sui server Yandex (il portale che fornisce il servizio di free hosting Narod). In questo caso il sito del software antirootkit è ospitato su un altro IP, era tuttavia un esempio per comprendere che bloccare l’accesso ad un IP di uno dei più grandi hoster russi potrebbe creare disagi.

Il dialer, dalle dimensioni di 47104 bytes, può effettuare chiamate ai seguenti numeri:

8991614** Voiceplus S.r.l
8991030** Karupa S.p.A
008819391004** Numero satellitare

Crea il seguente file:

C:WINDOWSsystem32msmmi.exe

E le seguenti chiavi di registro:

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

    msmmi” = C:WINDOWSsystem32msmmi.exe

  • HKEY_LOCAL_MACHINESoftwaremsmmi