Un’e-mail, di stampo simile alle vecchie e-mail che girano saltuariamente da due anni a questa parte, sta arrivando nelle caselle degli italiani.

Un’e-mail proveniente da un sedicente avvocato recita:

Salve,

Il mio nome è Giovanni Maria Valtramonti, le scrivo in quanto risulta che dal suo indirizzo di posta elettronica mi siano state inviate ripetutamente ingiurie ed infamie.
Al fine di porre fine a tale torpiloquio speso nei miei confronti senza nessuna fondata ragione ed ancora, leggendo la posta sul mio computer anche i miei figli, mi sono trovato costretto a sporgere una denuncia nei Suoi confronti tramite una Società di sicurezza informatica ( Network Managment Security ) che si occuperà di confermare la proprietà dell’email incriminata attraverso un servizio di condanna o revoca della suddetta denuncia per atti telematici a mezzo di posta elettronica.

Le ricordo inoltre che il suo computer potrebbe essere infetto e che quindi l’email in questione non appartenga affatto a Lei ed in questo caso le farei le mie scuse per il distrubo

In ogni modo al fine di non far procedere l’avvocato M. Rufchrt della suddetta società con la richiesta, da me effettuata, di risarcimento danni, la consiglio caldamente di prendere contatto attraverso il form che N.M.S. le ha messo a disposizione per procedere all’identificazione di questo indirizzo di email

Cordialmente la saluto Dott.

Giovanni Maria Valtramonti

L’e-mail rimanda, attraverso un link, ad un server ospitato in Cina all’indirizzo IP 220.112.46.132.

La pagina aperta, la cui immagine è esposta qui sotto, richiede la verifica di un indirizzo e-mail.

Sito web fittizio

Il testo recita:

Nel caso che questa email non sia di sua proprietà con buona probabilità il suo Personal Computer potrebbe essere infettato dal virus denominato “EmSender1A04b” la invitiamo per tanto onde evitare altri spiacevoli incovenienti a scaricare il Fix Rilasciato da Digital Riv Solution USA : Fix1A04b

Invita al download di un presunto removal tool, che è in realtà un malware. Tutti i link presenti all’interno della pagina web rimandano al malware riconosciuto da Prevx come Trojan.Hijacker.

Una volta eseguito, il malware cambia la home page di Internet Explorer con il sito web www.tuttoavolonta.com e apre una pagina web all’indirizzo www.internet-explorer.name.

Aggiunge tra i siti web ritenuti attendibili da Internet Explorer i seguenti siti:

  • www.katasearch.com
  • www.preferiti-windows.com
  • www.qoogler.com
  • www.tuttoavolonta.com

(Attenzione: Sebbene siano tutti momentaneamente non raggiungibili, è fortemente sconsigliata la navigazione all’interno dei siti web sopra citati)

In caso il computer sia connesso tramite modem analogico 56k, viene creato il file etc.exe sotto C:WINDOWSsystem32winsvcsvc e vengono creati i seguenti collegamenti:

  • sul desktop

    • Mutandine usate.lnk
    Adult Frind Finder.lnk
    Google.lnk

  • Menu Avvio

    • Campionato 2008.lnk

  • su Risorse del Computer

    • Internet per Adulti

Il dialer può effettuare chiamate ai seguenti numeri di telefono:

  • 899451111
  • 899032548
  • 899399385
  • 899702085
  • 899707778

Può creare dei file .pbk, utilizzati come rubrica per la chiamata analogica, con nome random all’interno della directory di sistema di Windows.

Prevx CSI individua e rimuove l’infezione.

Sito web fittizio

Per rimuovere le icone sul desktop e dal menu avvio basta cliccare sopra di esse con il tasto destro del mouse e poi “Elimina”. Per rimuovere invece l’icona “Internet per Adulti” da Risorse del Computer è necessario lavorare nel registro di sistema come illustrato qui sotto.

  • Start – Esegui – “regedit” (premere invio)
  • Navigare fino alla chiave di registro HKEY_CLASSES_ROOTCLSID, identificare la sottochiave {16C7013F-912E-42ac-AA8E-A10A180DFF51}, tasto destro su di essa e poi “Elimina”
  • navigare fino alla chiave di registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorer
    MyComputerNameSpace     e rimuovere la sottochiave {16C7013F-912E-42ac-AA8E-A10A180DFF51}

Basta cercare indietro nel tempo, anche in questo sito web, per vedere come questa tipologia di infezione sia attiva già dal passato 2006. Stessi siti web, una lista abbastanza ampia di numeri 899 utilizzati dal malware, una tipologia di attacco che è studiata esplicitamente per il territorio italiano. Dei dati almeno interessanti da cui poter partire per qualche indagine.

Non so se delle indagini siano mai state effettuate a riguardo, se polizia postale o gat abbiano mai controllato questa situazione. Quello che è sicuro è che ogni tot mesi queste e-mail e questo malware tornano liberamente a farsi sentire.