www.MegaLab.it

[riise90]

Salve a tutti. Poco fa mio padre stava su Virgilio leggendo alcune mail che gli erano arrivate. Ad un certo punto Avira segnala la presenza di questo virus: HTML/Spoofing.Gen. E già qua c'è da insospettirsi. Ma il fatto veramente strano è quello che succede dopo. Infatti dopo aver cliccato per impedire l' accesso al virus si apre una pagina bianca, sempre con l' indirizzo di Virgilio, con scritto questo:

Codice: Seleziona tutto

HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Expires: 0
Content-Type: text/html;charset=utf-8
Transfer-Encoding: chunked
Date: Fri, 10 Apr 2009 14:09:46 GMT
Server: Apache-Coyote/1.1

4000
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">










<!--EmailList.jsp -->


Successivamente succede la stessa cosa ma il messaggio è un altro:

Codice: Seleziona tutto

HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Expires: 0
Cache-Control: no-cache
Pragma: no-cache
Expires: 0
Content-Type: text/html;charset=utf-8
Content-Length: 2424
Date: Fri, 10 Apr 2009 14:12:59 GMT
Server: Apache-Coyote/1.1







<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
   <head>
      <!-- inizio domain -->
      
        <script language="JavaScript">document.domain="alice.it";</script>
<script>
 function SetCookie (name,value,expires,path,domain,secure) {
 // alert( document.cookie );
   document.cookie = name + "=" + escape (value) +
     ((expires) ? "; expires=" + expires.toGMTString() : "") +
     ((path) ? "; path=" + path : "") +
     ((domain) ? "; domain=" + domain : "") +
     ((secure) ? "; secure" : "");
  //alert( document.cookie );
 }

 SetCookie( "refreshbanner", "refresh",false,"/","alice.it" );
</script>



      <!-- fine domain -->
        <title></title>
      <script language="JavaScript" type="text/javascript" src='/cp/javascript/default/en/uikit/util.js'></script>
      <script language="JavaScript" src="/cp/javascript/default/en/uikit/cookie.js"></script>
      <script language="JavaScript" type="text/javascript">
         var loginUrl = '/cp/ps/Main/login/RenewSession?d=alice.it&reauth=true&s=1239372779277';
         loginUrl += '&disabled=false';
         function onloadHandler()
         {
            
            var reffererUrl=document.referrer;
            var indexParamU = -reffererUrl.indexOf('&u=')*reffererUrl.indexOf('?u=');
            var userO="";
            if(indexParamU>0)
            {
               var indexNextParam = reffererUrl.indexOf('&', indexParamU+1);
               if(indexNextParam>0){
                  userO = reffererUrl.substring(indexParamU+3,indexNextParam);
               }else{
                  userO = reffererUrl.substring(indexParamU+3,reffererUrl.length);
               }
            }
            var indexUrlPSPab = reffererUrl.indexOf('/PSPab/');
            var saO;
            
            if(top.isModMin&&top.isModMin=="true")
            {
               saO = 'wmModMin';
            }
            else if(indexUrlPSPab>0)
               saO = 'PAB';
            else
               saO="webmail";

            var domainO="alice.it";
            var mailO=userO+"@"+domainO;
            var styleO="bo";
            //var saO="webmail";
            var lO="it";
            var windowO="bo";
            var tintoken=GetCookie( "tincctoken");
            
            mailO=tintoken.substring(0,tintoken.indexOf("%") );
            //alert(tintoken);
            //alert(mailO);
            
            loginUrl+="&mail=" + mailO +
                    "&window=" + windowO +
                    "&d=" + domainO +
                    "&style=" + styleO +
                    "&sa=" + saO +
                    "&l=" + lO +
                    "&token="+tintoken;
            top.frames["mid"].document.location.href=loginUrl;
         }
      </script>
      </head>
      <body onload="onloadHandler()" bgcolor="#FFFFFF" leftmargin="0" topmargin="0">
      </body>
</html>


Secondo voi cosa vuol dire?

[ste_95]

Pare che la rilevazione sia euristica, e quanto hai postato non mi sembra dannoso.

[riise90]

Quindi posso stare tranquillo?! La mail ha un contenuto molto delicato e quindi mio padre si è preoccupato subito. Inoltre mi sono dimenticato di dire che il testo della mail è scomparso e non sono più riuscito a leggerlo. Mio padre in ufficio era riuscito a leggerla senza ricevere alcun tipo di avviso.

[ste_95]

Prova a navigare ancora un po' su Virgilio, e vedi se ricapita, ma io non mi preoccuperei più di tanto.

[riise90]

Su Virgilio non ho problemi: qualunque mail leggo non ricevo alcun avviso. Ma se apro quella maledetta mail Avira mi avvisa sempre della presenza di un virus.

[ste_95]

E' una mail legittima? Hai provato a chiamare il mittente per controllare che sia effettivamente sua? C'è del codice html o di altra natura?

[riise90]

Mi sono fatto rimandare la mail ed ora è tutto a posto. Resta comunque il mistero per quello che succedeva prima.