www.MegaLab.it

Ho ricevuto poco tempo fa un virus (più propriamente, "un downloader") via e-mail, camuffato in modo leggermente più interessante dal solito donne_nude.exe.

Si tratta di un falso filmato che, una volta aperto con Windows Media Player, utilizza la funzionalità di aggiornamento semi-automatico offerta dal lettore Microsoft per inserire un programma malevolo nella macchina bersaglio.

Come funziona

Il cracker inizia l'aggressione inviando una e-mail con un finto filmato allegato: nel mio specifico caso l'allegato era denominato cnn_news.asx ed il testo del messaggio era Cosa pensano di noi negli Stati Uniti... ma chiaramente entrambi gli elementi potrebbero variare.

Se aperto con Windows Media Player, il lettore propone di scaricare ed installare "un codec adeguato alla visualizzazione del filmato"

Cliccando sull'immagine viene contattato un server che propone di scaricare un eseguibile, spacciato per un aggiornamento ai codec di sistema. In realtà si tratta di una applicazione malevola che scarica ed installa a propria volta altri malware: potrebbe trattarsi quindi di virus, worm, adware o qualsiasi altra schifezza stabilita dall'aggressore, mediante la quale ad esempio prendere pieno controllo della macchina colpita e sottrarre così informazioni o dati personali, quali le credenziali di accesso al servizio di e-banking.

L'analisi proposta da VirusTotal del file scaricato è la seguente

Arrivati a questo punto, la frittata è fatta: il downloader "è dentro" e può iniziare a scaricare il malware designato. Non rimane a questo punto che procedere con la pulizia utilizzando i consueti strumenti.

Il server malevolo

Ho dato un'occhiata all'allegato del messaggio-trappola utilizzando un editor testuale:

Si tratta quindi di un file XML che mostra come il codice malevolo venga scaricato da un server denominato servercodecs.com:

Il dominio sembra essere intestato ad un filippino, anche se, come ben sappiamo, questi dati possono essere falsificati senza grosse difficoltà

Come difendersi

Chiaramente le caratteristiche dell'aggressione potrebbero variare, ma possiamo generalizzare alcune raccomandazioni di base:

• Non aprire MAI un allegato la cui fonte non sia assolutamente verificata, indipendentemente che si tratti di un eseguibile o meno
• Anche in caso il messaggio sembri provenire da un indirizzo conosciuto, assicuratevi di aprirlo solo se strettamente necessario: come dimostrato, anche video o stupidaggini di altro tipo possono nascondere qualche insidia
• Se possibile, chiedete rassicurazioni al mittente (magari via telefono o messaggistica istantanea) riguardo il contenuto dell'allegato
• Benché non sia la panacea di tutti i mali, mantenere installato e pienamente aggiornato un buon antivirus può contribuire a rafforzare la sicurezza del sistema