Punto informatico Network

IE, Internet Explorer, Internet, explorer

La falsa versione di Internet Explorer 7 con virus incorporato

18/08/2008
- A cura di
Archivio - In un'estate molto attiva dei distributori di malware: questa volta assistiamo ad un attacco basato su una falsa versione di Internet Explorer 7.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

internet (1) , internet explorer (1) , virus (1) , internet explorer 7 (1) , falsa (1) , explorer (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 296 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Sfruttando lo stesso tipo di e-mail usate per distribuire il virus che prometteva di mostrare un video di Angelina Jolie nuda, adesso sono in circolazione dei messaggi spediti da un fantomatico Admin Microsoft con al suo interno un link per scaricare l'ultima versione di Internet Explorer 7, quasi fosse una patch importante e urgente.

Patch1.jpg

Analizzando il file IE-7.0.exe che si scarica da questo link, si nota che è riconosciuto da pochissimi antivirus.

Patch2.jpg

Eseguendo il file IE-7.0.exe, vengono estratti una serie di eseguibili e un file Batch (.bat) che contiene i comandi per disabilitare il firewall di Windows. Uno di questi file, Services.exe, si copia in esecuzione automatica, in modo da avviarsi ad ogni accensione del computer, e lancia il file .bat

Patch3.jpg

Oltre a tentare di collegarsi ad una serie di indirizzi situati negli Usa.

Patch4.jpg

Analizzando il file Services.exe è riconosciuto da ancora meno antivirus e quindi ancora più pericoloso.

Patch5.jpg

Mentre grazie al servizio offerto da Threatexpert.com possiamo vedere il comportamento completo di questo virus.

Il sito che ospita il virus iniziale è un sito di hosting dati situato in Moldovia, il cui servizio è al momento bloccato, ma con i suoi link infetti ancora pienamente attivi.

Patch6.jpg

Non pensiate sia impossibile cadere in tranelli così banali: le persone che navigano sono tante e alcune molto inesperte, e ricevere una e-mail inviata dall'Admin Microsoft potrebbe anche far loro credere che sia vera (ne conosco almeno uno che era caduto in una trappola simile visto che il sistema della falsa patch Microsoft è già stato utilizzato in passato).

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.29 sec.
    •  | Utenti conn.: 115
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.11