www.MegaLab.it

Sfruttando lo stesso tipo di e-mail usate per distribuire il virus che prometteva di mostrare un video di Angelina Jolie nuda, adesso sono in circolazione dei messaggi spediti da un fantomatico Admin Microsoft con al suo interno un link per scaricare l'ultima versione di Internet Explorer 7, quasi fosse una patch importante e urgente.

Analizzando il file IE-7.0.exe che si scarica da questo link, si nota che è riconosciuto da pochissimi antivirus.

Eseguendo il file IE-7.0.exe, vengono estratti una serie di eseguibili e un file Batch (.bat) che contiene i comandi per disabilitare il firewall di Windows. Uno di questi file, Services.exe, si copia in esecuzione automatica, in modo da avviarsi ad ogni accensione del computer, e lancia il file .bat

Oltre a tentare di collegarsi ad una serie di indirizzi situati negli Usa.

Analizzando il file Services.exe è riconosciuto da ancora meno antivirus e quindi ancora più pericoloso.

Mentre grazie al servizio offerto da Threatexpert.com possiamo vedere il comportamento completo di questo virus.

Il sito che ospita il virus iniziale è un sito di hosting dati situato in Moldovia, il cui servizio è al momento bloccato, ma con i suoi link infetti ancora pienamente attivi.

Non pensiate sia impossibile cadere in tranelli così banali: le persone che navigano sono tante e alcune molto inesperte, e ricevere una e-mail inviata dall'Admin Microsoft potrebbe anche far loro credere che sia vera (ne conosco almeno uno che era caduto in una trappola simile visto che il sistema della falsa patch Microsoft è già stato utilizzato in passato).