Ciao,

è da un paio di giorni che mi arriva una mail di spam.
All'interno un link che mi scarica un file eseguibile per windows, più o meno camuffato.

Né l'antivirus del firewall, né quello di windows (trendmicro) trovano nulla.

Per precauzione ho spedito il file ad un servizio online di scansione... ed in effetti, su una lunga lista di pattern, solo un paio hanno identificato un worm.

http://s2.postimage.org/19su3iztw/analisi_virus.jpg (http://postimage.org/image/19su3iztw/)

possibile?

dubito che sia un vero eseguibile avendo estensione ".doc" ossia documento word quindi le possibilità di infezione sono pari allo 0% :O
sei sicuro che non sia un file ascii ?

dubito che sia un vero eseguibile avendo estensione ".doc" ossia documento word quindi le possibilità di infezione sono pari allo 0% :O
sei sicuro che non sia un file ascii ?

...non ha estensione *.doc....

Ed è un eseguibile.
Ho lasciato anche l'immagine e ho scritto che era camuffato.
Ma non è questo il punto. Non mi interessa come si presenta il file.


Il punto è che, solo 2 antivirus su più di 30... hanno trovato traccia di minaccia, riportando nome e cognome del worm.
E' poco, speravo il contrario... ;)

Visto che ti arriva nello spam quasi certamente è robaccia, per cui secondo me quel 5% è più che sufficinete per considerarlo malware.

Visto che ti arriva nello spam quasi certamente è robaccia, per cui secondo me quel 5% è più che sufficinete per considerarlo malware.

ah no.. perdonatemi...

non è arrivato nello spam.. ma io l'ho considerato subito spam, vedendo tanto subdola la richiesta di cliccare per scaricare quel file.

he allora pubblica il copro dell'email e l'header così vediamo come si presentava :)

certo, questo era il tutto

Da: Supportpay [Cedric1S@cliffhanger.com] Inviato: sab 15/10/2011 15.57
A: MIO NOME
Cc:
Oggetto: Richiesta N8261734
Allegati:
Visualizza come pagina Web
Buongiorno
La risposta alla vostra richiesta per le forniture al sito 2011/10/14.
hxxp://epworthpool.co.uk/download/Profiel.zip?RZ07NS4KI


Tel./Fax.: +39 (41) 418-66-17



l'header ve lo posto domani, perchè sono sul pannello web e non posso vedere altri dettagli

ora lo identificano in 22: https://www.virustotal.com/file-scan/report.html?id=454cf8c19d2d9146a6c91321c9245d74d0dba6379c692f8d2d327b4871dbe1c0-1318915735

mentre qui c'è una scansione un po' più dettagliata sulle potenzialità di questo file:
http://www.threatexpert.com/report.aspx?md5=03e662753b2c4a05c40ad3525eeef903

l'header:

Microsoft Mail Internet Headers Version 2.0
Received: from host123-165-dynamic.10-87-r.retail.telecomitalia.it ([87.10.165.123]) by mail.MIAAZIENDA.com with Microsoft SMTPSVC(6.0.3790.4675);
Sat, 15 Oct 2011 16:42:02 +0200
Received: from smtp.cliffhanger.com.br ([171.19.28.195])
by mmp-4.cliffhanger.com (iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003)) with SMTP id <VZBQTRP7961AXTHZ@cliffhanger.com>
for NOME.COGNOME@MIAAZIENDA.com; Sat, 15 Oct 2011 15:41:41 +0100
Date: Sat, 15 Oct 2011 14:57:09 +0100
From: "Supportpay" <Cedric1S@cliffhanger.com>
X-Mailer: The Bat! (v4.5.04) UNREG
Message-id: <51486640.1282010556502@gmail.com>
To: NOME.COGNOME@MIAAZIENDA.com
Subject: Richiesta N8261734
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------724BC0C78831A11"
X-WatchGuard-Spam-ID: str=0001.0A090201.4E999BC4.0016,ss=1,fgs=0
X-WatchGuard-Spam-Score: 0, clean; 0, no virus
X-WatchGuard-Mail-Client-IP: 171.19.28.195
X-WatchGuard-Mail-From: Cedric1S@cliffhanger.com
Return-Path: Cedric1S@cliffhanger.com
X-OriginalArrivalTime: 15 Oct 2011 14:42:03.0570 (UTC) FILETIME=[9AAAE920:01CC8B48]

------------724BC0C78831A11
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
X-WatchGuard-AntiVirus: part scanned. clean action=allow


------------724BC0C78831A11--

ora lo identificano in 22: https://www.virustotal.com/file-scan/report.html?id=454cf8c19d2d9146a6c91321c9245d74d0dba6379c692f8d2d327b4871dbe1c0-1318915735

mentre qui c'è una scansione un po' più dettagliata sulle potenzialità di questo file:
http://www.threatexpert.com/report.aspx?md5=03e662753b2c4a05c40ad3525eeef903

però! impressionante come si sono distribuiti la conoscenza del trojan in poche ore.

vista l'entità di questa email riporta questa documentazione anche in questo thread:
http://www.hwupgrade.it/forum/showthread.php?t=2386831

così può essere utile anche agli altri :)

però! impressionante come si sono distribuiti la conoscenza del trojan in poche ore.

E il bello è che i primi a scovarlo sono stati due antivirus abbastanza sconosciuti qui da noi :eek:

E il bello è che i primi a scovarlo sono stati due antivirus abbastanza sconosciuti qui da noi :eek:

e.. da quel che ho visto anche su youtube, il primo è proprio PESSIMO.

e.. da quel che ho visto anche su youtube, il primo è proprio PESSIMO.

Allora è stata una botta di culo oppure l'avevano sviluppato loro a tempo perso :D

Allora è stata una botta di culo oppure l'avevano sviluppato loro a tempo perso :D

la seconda... :)