Punto informatico Network

Canali
20080829222844

Quando il virus si traveste da filmato

20/03/2007
- A cura di
Zane.
Sicurezza - Prendete un filmato allegato ad un messaggio e-mail, una funzionalità poco conosciuta di Windows Media Player, e l'offerta di un fantomatico codec gratuito. Mescolate il tutto ad un po' di social engineering ed ecco che anche i video multimediali possono nascondere brutte sorprese.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

virus (1) , filmato (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 215 voti

Ho ricevuto poco tempo fa un virus (più propriamente, "un downloader") via e-mail, camuffato in modo leggermente più interessante dal solito donne_nude.exe.

Si tratta di un falso filmato che, una volta aperto con Windows Media Player, utilizza la funzionalità di aggiornamento semi-automatico offerta dal lettore Microsoft per inserire un programma malevolo nella macchina bersaglio.

Come funziona

Il cracker inizia l'aggressione inviando una e-mail con un finto filmato allegato: nel mio specifico caso l'allegato era denominato cnn_news.asx ed il testo del messaggio era Cosa pensano di noi negli Stati Uniti... ma chiaramente entrambi gli elementi potrebbero variare.

Cnn_virus_messaggio.png

Se aperto con Windows Media Player, il lettore propone di scaricare ed installare "un codec adeguato alla visualizzazione del filmato"

Wmp_virus.jpg

Icona_codecs_update.jpg

Cliccando sull'immagine viene contattato un server che propone di scaricare un eseguibile, spacciato per un aggiornamento ai codec di sistema. In realtà si tratta di una applicazione malevola che scarica ed installa a propria volta altri malware: potrebbe trattarsi quindi di virus, worm, adware o qualsiasi altra schifezza stabilita dall'aggressore, mediante la quale ad esempio prendere pieno controllo della macchina colpita e sottrarre così informazioni o dati personali, quali le credenziali di accesso al servizio di e-banking.

L'analisi proposta da VirusTotal del file scaricato è la seguente

Virustotal_analis.jpg

Arrivati a questo punto, la frittata è fatta: il downloader "è dentro" e può iniziare a scaricare il malware designato. Non rimane a questo punto che procedere con la pulizia utilizzando i consueti strumenti.

Il server malevolo

Ho dato un'occhiata all'allegato del messaggio-trappola utilizzando un editor testuale:

Cnn_news_xml.jpg

Si tratta quindi di un file XML che mostra come il codice malevolo venga scaricato da un server denominato servercodecs.com:

Il dominio sembra essere intestato ad un filippino, anche se, come ben sappiamo, questi dati possono essere falsificati senza grosse difficoltà

Whois.jpg

Come difendersi

Chiaramente le caratteristiche dell'aggressione potrebbero variare, ma possiamo generalizzare alcune raccomandazioni di base:

  • Non aprire MAI un allegato la cui fonte non sia assolutamente verificata, indipendentemente che si tratti di un eseguibile o meno
  • Anche in caso il messaggio sembri provenire da un indirizzo conosciuto, assicuratevi di aprirlo solo se strettamente necessario: come dimostrato, anche video o stupidaggini di altro tipo possono nascondere qualche insidia
  • Se possibile, chiedete rassicurazioni al mittente (magari via telefono o messaggistica istantanea) riguardo il contenuto dell'allegato
  • Benché non sia la panacea di tutti i mali, mantenere installato e pienamente aggiornato un buon antivirus può contribuire a rafforzare la sicurezza del sistema
Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.12 sec.
    •  | Utenti conn.: 86
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0