Wip3out
17-02-2006, 21:30
Attenzione
E' tutto il giorno che seguo questa mail sui NG e su altri forum.
Si diffonde con questo testo in italiano
ciao,
mi hann o trasmesso questo documento che
contiene alcune informazioni su di te.
ho preferito proteggerl o con password visto quel che c'č scritto.
la password per aprire lo zip č "privato12",
quando hai unzippato troverai un altro file Office cryptato.
aprilo con un doppio click
In allegato c'č un file ZIP criptato con password (e quindi gli AV non riconosceranno il virus all'interno). Dentro c'č un file che sembra un DOC ma č un EXE. Se viene installato il trojan comincia ad inviare mail tramite smtp sulla porta 25. Da una prima analisi fatta da un altro utente sembra prendere gli indirizzi da Outlook. Non si serve di Outlook per inviare le mail ma non usa un suo server smtp. Iniva direttamente alla porta, quindi qualche AV si farą fregare. Norton per esempio visto che si intromette nel traffico vi segnalerą i messaggi in uscita tramite l'iconcina in basso. Prende l'indirizzo dei server smtp da Outlook ma non riesce a prendere anche le user e pass in caso di server con accesso tramite le stesse.
Attualmente viene riconosciuto da pochi AV. Questa č l'attuale situazione da VirusTotal
http://img212.imageshack.us/img212/3394/screenshot0050re.th.jpg (http://img212.imageshack.us/my.php?image=screenshot0050re.jpg)
State attenti.
E' tutto il giorno che seguo questa mail sui NG e su altri forum.
Si diffonde con questo testo in italiano
ciao,
mi hann o trasmesso questo documento che
contiene alcune informazioni su di te.
ho preferito proteggerl o con password visto quel che c'č scritto.
la password per aprire lo zip č "privato12",
quando hai unzippato troverai un altro file Office cryptato.
aprilo con un doppio click
In allegato c'č un file ZIP criptato con password (e quindi gli AV non riconosceranno il virus all'interno). Dentro c'č un file che sembra un DOC ma č un EXE. Se viene installato il trojan comincia ad inviare mail tramite smtp sulla porta 25. Da una prima analisi fatta da un altro utente sembra prendere gli indirizzi da Outlook. Non si serve di Outlook per inviare le mail ma non usa un suo server smtp. Iniva direttamente alla porta, quindi qualche AV si farą fregare. Norton per esempio visto che si intromette nel traffico vi segnalerą i messaggi in uscita tramite l'iconcina in basso. Prende l'indirizzo dei server smtp da Outlook ma non riesce a prendere anche le user e pass in caso di server con accesso tramite le stesse.
Attualmente viene riconosciuto da pochi AV. Questa č l'attuale situazione da VirusTotal
http://img212.imageshack.us/img212/3394/screenshot0050re.th.jpg (http://img212.imageshack.us/my.php?image=screenshot0050re.jpg)
State attenti.