Sta girando da diversi giorni nelle caselle di posta elettronica degli italiani una sedicente e-mail che recita:

Oggetto: Ecco quel che ti ho promesso

Ciao Ragazzi, non mi sono scordato della promessa di Sabato sera… Ecco il video de Fiorella! Non mi importa se lo scopre, visto che lei non ha avuto nessun problema a scoparsi 7 uomini assieme. Quindi se volete farlo girare no problem ok? http://xxxxxx.freemoviepro.com/coso.asx

Ciao a presto!

Gianni A. Perutti

L’e-mail è ovviamente falsa e rimanda ad un sito web ospitante malware. La tipologia di infezione è vecchia e di stampo prettamente italiano, molto simile ad una vecchia famiglia di altri trojan che girarono mesi addietro.

L’infezione si presenta sottoforma di falso codec, denominato codec_8-2.exe, necessario per visualizzare il famigerato video promesso nell’e-mail. Nel momento in cui l’utente tenta di aprire il file coso.asx, Windows Media Player è istruito per richiedere il download di questo codec, che a sua volta installerà nella directory di sistema di Windows un Browser Helper Object denominato wbspark.dll. La dll viene riconosciuta da Prevx come Adware.BHO.gen.

Vengono create inoltre le seguenti chiavi di registro:

HKEY_CLASSES_ROOTCLSID{bc42164f-2c53-1b42-1563-1a7624a24c11}

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorerbrowser helper objects{bc42164f-2c53-1b42-1563-1a7624a24c11}

Viene aggiunta la seguente riga al file HOSTS:

210.14.129.6 www.myfilmcodeclive.com

Al momento l’individuazione del BHO è minima, come da immagine:

Mentre il dropper è riconosciuto da più software antivirus:

Il server, freemoviepro.com (210.14.129.3), è attivo da diversi mesi e contiene vari sottodomini ricollegabili allo stesso falso codec. È assolutamente sconsigliabile la navigazione all’interno di questo sito web. Se ne consiglia, per gli amministratori di rete, il blocco dell’IP.

Per verificare se il proprio PC è infetto, è possibile utilizzare gratuitamente Prevx CSI.