Ore 8:20.
Entro in ufficio, perche' dovrei aprire alle nove, ma ho un po' di arretrati da portare avanti.
Mi loggo su Ronny, e ne approfitto per lanciare il gestore aggiornamenti sia su lui che su Seth.
Poi apro x11, e come d'abitudine, lancio skype e pigdin (msn), ed ecco che automagicamente mi si apre una finestra, con due chat sospese (due messaggi offline provenienti da due contatti che di sicuro stanno lavorando/facendo altro).
Entrambi praticamente identici:
Si prega di installarla $random11 $random sta per una sequenza di caratteri a caso, es. "stjmxf"
www.$indirizzo.info
Ognuno dei due mi segnala un sito .info diverso, ma entrambi i siti, passati allo script-blocker, si limitano a mandarmi ad un altro dominio: un sito web italiano, un portale suonerie/giochi/applicazioni per cellulari java.
I due siti web di cui sopra, passati al whois, risultano a prima vista registrati con dati anonimi e/o falsi (oddio: a prima vista... poi puo' darsi che mi sbaglio ed invece sono intestati a qualcuno di reale)... nello specifico i due whois ritornano:
Domain ID:xxxxxxxxx-LRMS(Medesime informazioni per Admin, Billing e Tech)
Domain Name:$indirizzo.INFO
Created On:19-May-2008 08:27:56 UTC
Last Updated On:19-Jul-2008 03:18:57 UTC
Expiration Date:19-May-2009 08:27:56 UTC
Sponsoring Registrar:Directi Internet Solutions Pvt. Ltd. d/b/a PublicDomainRegistry.com (R159-LRMS)
Status:OK
Registrant ID:DI_xxxxxx1
Registrant Name:murat yil
Registrant Organization:denem
Registrant Street1:edirne
Registrant City:edirne
Registrant State/Province:Edirne
Registrant Postal Code:587454
Registrant Country:TR
Registrant Phone:+544.5457xxx
Registrant Email:dxxxxxxxi@gmail.com
Il nameserver del dominio, invece, riporta anche lui ad un sito di suonerie e similia.
Tuttavia i domini .it a cui riportano questi siti sono invece registrati normalmente e con dati validi. Tutto sta a capire se questo trojan per msn opera usando il reinvio a questi siti per fare un po' di Cross Site Scripting (e quindi in questo caso i gestori dei siti di suonerie non c'entrano nulla), oppure se sia un modo per far installare i controlli activex di questi siti (che in un periodo di connessioni solo adsl mi chiedo sinceramente a che scopo...).
Ad ogni modo, consiglio caldamente a tutti i lettori che usano windows: se i vostri amici msn vi inviano messaggi con questo tono ("si prega di installarla caratteri caratteri sito"), *NON* *CLICKATE* sul link offerto, e segnalate all'amico/contatto di effettuare (o far effettuare) un approfondito controllo antivirus sul computer.
E come sempre in questi casi, occhio vivo a non aprire allegati che non avete richiesto ricevuti per posta elettronica o inviati senza motivo dai vostri contatti msn; e prima di aprire quelli "legali" (che vi aspettavate comunque) dateli *SEMPRE* anzitutto in pasto al vostro antivirus aggiornato.
1 commenti:
Ecco, una cosa simile mi e' capitata con Skype.
Solo che nel mio caso mi ha aperto una sessione di chat con n-mila persone collegate alla stanza. Tutte con nomi skype simili al mio. Da questo ho capito subito ... bot!
Seguite i consigli di Grizzly. Non cliccate!!!
Click ... ops ... :D
Posta un commento