Sta girando da diversi giorni nelle caselle di posta elettronica degli italiani una sedicente e-mail che recita:
Oggetto: Ecco quel che ti ho promesso
Ciao Ragazzi, non mi sono scordato della promessa di Sabato sera… Ecco il video de Fiorella! Non mi importa se lo scopre, visto che lei non ha avuto nessun problema a scoparsi 7 uomini assieme. Quindi se volete farlo girare no problem ok? http://xxxxxx.freemoviepro.com/coso.asx
Ciao a presto!
Gianni A. Perutti
L’e-mail è ovviamente falsa e rimanda ad un sito web ospitante malware. La tipologia di infezione è vecchia e di stampo prettamente italiano, molto simile ad una vecchia famiglia di altri trojan che girarono mesi addietro.
L’infezione si presenta sottoforma di falso codec, denominato codec_8-2.exe, necessario per visualizzare il famigerato video promesso nell’e-mail. Nel momento in cui l’utente tenta di aprire il file coso.asx, Windows Media Player è istruito per richiedere il download di questo codec, che a sua volta installerà nella directory di sistema di Windows un Browser Helper Object denominato wbspark.dll. La dll viene riconosciuta da Prevx come Adware.BHO.gen.
Vengono create inoltre le seguenti chiavi di registro:
HKEY_CLASSES_ROOTCLSID{bc42164f-2c53-1b42-1563-1a7624a24c11}
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorerbrowser helper objects{bc42164f-2c53-1b42-1563-1a7624a24c11}
Viene aggiunta la seguente riga al file HOSTS:
210.14.129.6 www.myfilmcodeclive.com
Al momento l’individuazione del BHO è minima, come da immagine:

Mentre il dropper è riconosciuto da più software antivirus:

Il server, freemoviepro.com (210.14.129.3), è attivo da diversi mesi e contiene vari sottodomini ricollegabili allo stesso falso codec. È assolutamente sconsigliabile la navigazione all’interno di questo sito web. Se ne consiglia, per gli amministratori di rete, il blocco dell’IP.
Per verificare se il proprio PC è infetto, è possibile utilizzare gratuitamente Prevx CSI.
Cacchio ma cosa aspettano quella della ESET argh 🙁
..ma c’è ancora gente che ci casca?????
avira,c’è,come al solito 😀
ma se si impedisce a WMP il download automatico dei codec non si dovrebbe metter una pezza al problema?per lo meno chiederebbe una conferma per il download del presunto codec…
mi è arrivata questa e mail..
Cerca di nascondere subito tutto, e fai veloce!!! il tuo nome è comparso questa mattina
insieme a quello di altri 150 indagati sul sito del CAFF di Roma. Controlla tu stesso
sei nella lista di gennaio, il sito è questo http://www.caff-antifr.com
P.S.
In ogni caso io non esisto mi raccomando, non fare mai il mio nome!!!
si firma
From: “Mauro Biffi”
l’obiettivo è localizzarlo e punirlo a botte..
cki mi aiuta a pestare questo individuo?
ma prima occorre localizzarlo
thanks
ho fatto un traceroute.. ma non so sia giusto per localizzarlo..
ho trovato questi dati
http://pastebin.ca/894883
C:Documents and SettingsTommaso>ping maya.ngi.it
te7-1.mpd02.fra03.atlas.cogentco.com [130.117.3.
sono deciso a localizzare l’individuo e a punirlo..
ki mi da una mano?…
ho le mani ke mi prudono.. io questo se lo becco
lo riduco in mutande con una querela ke nemmeno si immagina..