Pagine importanti

martedì 11 novembre 2008

Virus a capo di mattina


Ore 8:20.
Entro in ufficio, perche' dovrei aprire alle nove, ma ho un po' di arretrati da portare avanti.
Mi loggo su Ronny, e ne approfitto per lanciare il gestore aggiornamenti sia su lui che su Seth.
Poi apro x11, e come d'abitudine, lancio skype e pigdin (msn), ed ecco che automagicamente mi si apre una finestra, con due chat sospese (due messaggi offline provenienti da due contatti che di sicuro stanno lavorando/facendo altro).
Entrambi praticamente identici:
Si prega di installarla $random1

www.$indirizzo.info
1 $random sta per una sequenza di caratteri a caso, es. "stjmxf"
Ognuno dei due mi segnala un sito .info diverso, ma entrambi i siti, passati allo script-blocker, si limitano a mandarmi ad un altro dominio: un sito web italiano, un portale suonerie/giochi/applicazioni per cellulari java.
I due siti web di cui sopra, passati al whois, risultano a prima vista registrati con dati anonimi e/o falsi (oddio: a prima vista... poi puo' darsi che mi sbaglio ed invece sono intestati a qualcuno di reale)... nello specifico i due whois ritornano:
Domain ID:xxxxxxxxx-LRMS
Domain Name:$indirizzo.INFO
Created On:19-May-2008 08:27:56 UTC
Last Updated On:19-Jul-2008 03:18:57 UTC
Expiration Date:19-May-2009 08:27:56 UTC
Sponsoring Registrar:Directi Internet Solutions Pvt. Ltd. d/b/a PublicDomainRegistry.com (R159-LRMS)
Status:OK
Registrant ID:DI_xxxxxx1
Registrant Name:murat yil
Registrant Organization:denem
Registrant Street1:edirne
Registrant City:edirne
Registrant State/Province:Edirne
Registrant Postal Code:587454
Registrant Country:TR
Registrant Phone:+544.5457xxx
Registrant Email:dxxxxxxxi@gmail.com
(Medesime informazioni per Admin, Billing e Tech)

Il nameserver del dominio, invece, riporta anche lui ad un sito di suonerie e similia.

Tuttavia i domini .it a cui riportano questi siti sono invece registrati normalmente e con dati validi. Tutto sta a capire se questo trojan per msn opera usando il reinvio a questi siti per fare un po' di Cross Site Scripting (e quindi in questo caso i gestori dei siti di suonerie non c'entrano nulla), oppure se sia un modo per far installare i controlli activex di questi siti (che in un periodo di connessioni solo adsl mi chiedo sinceramente a che scopo...).

Ad ogni modo, consiglio caldamente a tutti i lettori che usano windows: se i vostri amici msn vi inviano messaggi con questo tono ("si prega di installarla caratteri caratteri sito"), *NON* *CLICKATE* sul link offerto, e segnalate all'amico/contatto di effettuare (o far effettuare) un approfondito controllo antivirus sul computer.

E come sempre in questi casi, occhio vivo a non aprire allegati che non avete richiesto ricevuti per posta elettronica o inviati senza motivo dai vostri contatti msn; e prima di aprire quelli "legali" (che vi aspettavate comunque) dateli *SEMPRE* anzitutto in pasto al vostro antivirus aggiornato.

1 commento:

  1. Ecco, una cosa simile mi e' capitata con Skype.

    Solo che nel mio caso mi ha aperto una sessione di chat con n-mila persone collegate alla stanza. Tutte con nomi skype simili al mio. Da questo ho capito subito ... bot!

    Seguite i consigli di Grizzly. Non cliccate!!!

    Click ... ops ... :D

    RispondiElimina

Come detto sull'intestazione del Blog, sarete ospiti ben graditi, e per questo vi ringrazio anche per i vostri commenti, anche se messi per criticarmi. (-:
Visto lo spam ricevuto in questo periodo, i commenti sono moderati, pertanto vi prego di utilizzare questo spazio per costruire qualcosa assieme a me e agli altri lettori, astenendovi invece dal limitarvi ad approfittare di questo spazio aperto per fare pubblicità ai vostri prodotti o servizi. In caso di dubbi, in home page trovate il mio indirizzo e-mail e il mio numero di telefono (attivo dal lunedì al venerdì dalle 9 alle 13 e dalle 15 alle 19), per contattarmi.
Infine, vi prego di non utilizzare parolacce, bestemmie o termini che possano urtare la sensibilità mia o dei lettori.
Grazie mille! Grizzly