Punto informatico Network
Canali
20080829222844

Quando il virus si traveste da filmato

20/03/2007
- A cura di
Zane.
Sicurezza - Prendete un filmato allegato ad un messaggio e-mail, una funzionalità poco conosciuta di Windows Media Player, e l'offerta di un fantomatico codec gratuito. Mescolate il tutto ad un po' di social engineering ed ecco che anche i video multimediali possono nascondere brutte sorprese.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

virus (1) , filmato (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 215 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Ho ricevuto poco tempo fa un virus (più propriamente, "un downloader") via e-mail, camuffato in modo leggermente più interessante dal solito donne_nude.exe.

Si tratta di un falso filmato che, una volta aperto con Windows Media Player, utilizza la funzionalità di aggiornamento semi-automatico offerta dal lettore Microsoft per inserire un programma malevolo nella macchina bersaglio.

Come funziona

Il cracker inizia l'aggressione inviando una e-mail con un finto filmato allegato: nel mio specifico caso l'allegato era denominato cnn_news.asx ed il testo del messaggio era Cosa pensano di noi negli Stati Uniti... ma chiaramente entrambi gli elementi potrebbero variare.

Cnn_virus_messaggio.png

Se aperto con Windows Media Player, il lettore propone di scaricare ed installare "un codec adeguato alla visualizzazione del filmato"

Wmp_virus.jpg

Icona_codecs_update.jpg

Cliccando sull'immagine viene contattato un server che propone di scaricare un eseguibile, spacciato per un aggiornamento ai codec di sistema. In realtà si tratta di una applicazione malevola che scarica ed installa a propria volta altri malware: potrebbe trattarsi quindi di virus, worm, adware o qualsiasi altra schifezza stabilita dall'aggressore, mediante la quale ad esempio prendere pieno controllo della macchina colpita e sottrarre così informazioni o dati personali, quali le credenziali di accesso al servizio di e-banking.

L'analisi proposta da VirusTotal del file scaricato è la seguente

Virustotal_analis.jpg

Arrivati a questo punto, la frittata è fatta: il downloader "è dentro" e può iniziare a scaricare il malware designato. Non rimane a questo punto che procedere con la pulizia utilizzando i consueti strumenti.

Il server malevolo

Ho dato un'occhiata all'allegato del messaggio-trappola utilizzando un editor testuale:

Cnn_news_xml.jpg

Si tratta quindi di un file XML che mostra come il codice malevolo venga scaricato da un server denominato servercodecs.com:

Il dominio sembra essere intestato ad un filippino, anche se, come ben sappiamo, questi dati possono essere falsificati senza grosse difficoltà

Whois.jpg

Come difendersi

Chiaramente le caratteristiche dell'aggressione potrebbero variare, ma possiamo generalizzare alcune raccomandazioni di base:

  • Non aprire MAI un allegato la cui fonte non sia assolutamente verificata, indipendentemente che si tratti di un eseguibile o meno
  • Anche in caso il messaggio sembri provenire da un indirizzo conosciuto, assicuratevi di aprirlo solo se strettamente necessario: come dimostrato, anche video o stupidaggini di altro tipo possono nascondere qualche insidia
  • Se possibile, chiedete rassicurazioni al mittente (magari via telefono o messaggistica istantanea) riguardo il contenuto dell'allegato
  • Benché non sia la panacea di tutti i mali, mantenere installato e pienamente aggiornato un buon antivirus può contribuire a rafforzare la sicurezza del sistema
Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    © Copyright 2018 BlazeMedia srl - P. IVA 14742231005

    • Gen. pagina: 0.4 sec.
    •  | Utenti conn.: 46
    •  | Revisione 2.0.1
    •  | Numero query: 42
    •  | Tempo totale query: 0.15