Salve a tutti.
Stasera scaricando la posta elettronica tra le decine di messaggi di spam che mi arrivano puntualmente ogni giorno da parte di Vodafone, Telecom, Amazon eprice e altri vari siti, mi è arrivata una email un po' insolita che finora non ho mai ricevuto.
Nel testo della email c'era scritto semplicemente: "Inviato dal mio..." e c'era il nome di uno smartphone o di qualche dispositivo mobile che però ora non ricordo il nome. Le cose strane sono due:
1) quel mittente non so manco chi fosse. L'indirizzo non ce l'ho in rubrica e l'indirizzo email mai visto prima di oggi
2) oltre al messaggio c'era un allegato chiamato photo.zip
Cosa molto insolita dato che anche con i messaggi di spam non arrivano, salvo rare eccezioni, degli allegati.
Per curiosità ho salvato il file sul desktop e gli ho fatto una scansione con Avira che però non mi ha trovato nulla. Poi ho provato ad aprirlo senza scompattarlo per vedere che caspita c'era dentro e all'interno conteneva un file chiamato photo.scr.
Ovviamente a sto punto ho preso e ho cancellato tutto senza estrarre il contenuto dello zip.
Dite che poteva essere un virus?
E se lo fosse stato aprendo lo zip, ma senza scompattare il contenuto mi sono infettato ugualmente o dovrei stare tranquillo?
Cmq ho provato a fare una scansione con Avira, ma non mi ha trovato nulla sul Pc.
Cmq è la prima volta che mi capita una cosa del genere. Vado tranquillo o devo preoccuparmi? E un'altra cosa volevo sapere: aprendo solo gli zip senza scompattarli si rischia lo stesso di infettarsi oppure bisogna proprio estrarre ed eseguire i files contenuti al loro interno?

Cercando un po' su google la parola: "photo.zip" ho trovato questo sito che sembra proprio una cosa simile capitata a me:
http://sdoppiamocupido.blogspot.it/2014/01/allegati-sospetti-e-download-vari-come.html

Quoto la parte interessante:
Infine un caso pratico per capire che non ci si può fidare degli antivirus. Ho ricevuto ieri da tale Reginochka una mail in inglese in cui dice di chiamarsi Ekaterina, di essere russa e che gli piacerebbe conoscermi. In allegato PHOTOS.zip (122 kB) che contiene un file .scr (estensione per screensaver, tipo di file spesso utilizzato per infettare i PC). Ma in questo caso non si tratta di qualcuno che si spaccia per una bella ragazza russa allo scopo di estorcere denaro (SCAM), ma al 99,9% di un allegato infetto.
Invece di cestinare il tutto come faccio di solito provo a controllare l'allegato.
Microsoft Essential mi dice che non è infetto, ma so bene che tale antivirus non è infallibile.
Malwarebyte invece rileva la presenza di malware che chiama Trojan.Zbot


Cavolo sembra molto simile a come è capitato a me e l'allegato se non sbaglio aveva dimensioni simili (sui 100-120KB).
Io il file .scr non l'ho estratto e non l'ho eseguito però con Winrar ho aperto il file .zip (dopo averlo prima controllato con Avira) per vedere cosa c'era dentro. Dopo che ho visto il contenuto, senza nè scompattarlo nè eseguirlo l'ho cestinato.
Aprendo un file .zip che contiene un virus si rischia lo stesso l'infezione? Cmq Avira non mi aveva trovato niente. Boh speriamo in bene.

Per toglierti il dubbio e considerando che nel post precedente si è detto che MBAM lo rileva come Trojan, io farei una scansione proprio con MBAM.

Cercando un po' su google la parola: "photo.zip" ho trovato questo sito che sembra proprio una cosa simile capitata a me:
http://sdoppiamocupido.blogspot.it/2014/01/allegati-sospetti-e-download-vari-come.html

Quoto la parte interessante:



Cavolo sembra molto simile a come è capitato a me e l'allegato se non sbaglio aveva dimensioni simili (sui 100-120KB).
Io il file .scr non l'ho estratto e non l'ho eseguito però con Winrar ho aperto il file .zip (dopo averlo prima controllato con Avira) per vedere cosa c'era dentro. Dopo che ho visto il contenuto, senza nè scompattarlo nè eseguirlo l'ho cestinato.
Aprendo un file .zip che contiene un virus si rischia lo stesso l'infezione? Cmq Avira non mi aveva trovato niente. Boh speriamo in bene.

Quindi l'hai scompattato, nel caso specifico se non hai mandato in esecuzione il file .scr non ci sono problemi, suggerisco dovesse succedere ancora di cestinare immediatamente.

Quindi l'hai scompattato, nel caso specifico se non hai mandato in esecuzione il file .scr non ci sono problemi, suggerisco dovesse succedere ancora di cestinare immediatamente.
Bè in realtà non l'ho neanche scompattato. Ho aperto winrar ho visto cosa c'era all'interno dello zip e poi ho cestinato senza nemmeno scompattare.
Cmq ho provato anche Malwarebyte e anche lui non mi trova niente.

Cmq la domanda o meglio la mia curiosità più che altro era un'altra: "quando ti capita un file .zip o .rar che contiene un virus, un trojan o un malware, senza scompattarlo ma esplorando solo il contenuto dello zip si rischia lo stesso di prendere qualche virus o si dovrebbe stare tranquilli?

Bè in realtà non l'ho neanche scompattato. Ho aperto winrar ho visto cosa c'era all'interno dello zip e poi ho cestinato senza nemmeno scompattare.
Cmq ho provato anche Malwarebyte e anche lui non mi trova niente.

Cmq la domanda o meglio la mia curiosità più che altro era un'altra: "quando ti capita un file .zip o .rar che contiene un virus, un trojan o un malware, senza scompattarlo ma esplorando solo il contenuto dello zip si rischia lo stesso di prendere qualche virus o si dovrebbe stare tranquilli?

Fino al momento in cui non esegui il file contenuto nel pacchetto dovresti essere al riparo. Tuttavia io per evitare qualsiasi evenienza sono solito aprire i file zip, rar, ecc sempre sotto sandobox.

Stasera mi è arrivata di nuovo la email strana sempre con quell'allegato photo.zip

Stavolta non ho nemmeno esplorato il contenuto con Winrar però prima di cancellarlo per curiosità l'ho inviato e fatto scansionare su virustotal.com.
Tra l'altro ho visto che oltre che a a me, il tizio l'ha mandato ad altre decine di persone per Cc.
E anche stavolta il tizio non ho idea di chi diavolo sia.
Ecco il risultato:


HA256: bb6211342a7eb1de1d287998cd4e951c2ac1966434e34c53fc51a8e9dfbd6f81
Nome del file: photo.zip
Rapporto rilevamento: 13 / 55
Data analisi: 2014-09-29 18:16:41 UTC ( 0 minuti fa )

Antivirus Risultato Aggiornamento



AVG Generic36.AEIP 20140929
Avast Win32:Malware-gen 20140929
Baidu-International Worm.Win32.Gamarue.cAN 20140929
ClamAV Zip.Suspect.ExecutablePhoto-zippwd-2 20140929
DrWeb BackDoor.Andromeda.404 20140929
ESET-NOD32 a variant of Win32/Injector.BMPI 20140929
Ikarus Worm.Win32.Gamarue 20140929
K7AntiVirus Trojan ( 7000000c1 ) 20140929
K7GW Trojan ( 7000000c1 ) 20140929
Malwarebytes Trojan.Agent 20140929
Microsoft Worm:Win32/Gamarue.AN 20140929
Qihoo-360 HEUR/Malware.QVM10.Gen 20140929
Sophos Mal/DrodZp-A 20140929
AVware 20140929
Ad-Aware 20140929
AegisLab 20140929
Agnitum 20140929
AhnLab-V3 20140929
Antiy-AVL 20140929
Avira 20140929
BitDefender 20140929
Bkav 20140929
ByteHero 20140929
CAT-QuickHeal 20140929
CMC 20140925
Comodo 20140929
Cyren 20140929
Emsisoft 20140929
F-Prot 20140929
F-Secure 20140929
Fortinet 20140929
GData 20140929
Jiangmin 20140928
Kaspersky 20140929
Kingsoft 20140929
McAfee 20140929
McAfee-GW-Edition 20140929
MicroWorld-eScan 20140929
NANO-Antivirus 20140929
Norman 20140929
Panda 20140929
Rising 20140929
SUPERAntiSpyware 20140929
Symantec 20140929
Tencent 20140929
TheHacker 20140929
TotalDefense 20140929
TrendMicro 20140929
TrendMicro-HouseCall 20140929
VBA32 20140929
VIPRE 20140929
ViRobot 20140929
Zillya 20140929
Zoner 20140929
nProtect 20140929

MD5 d490d44f564668b9114676719bf268fb
SHA1 c1dc7a4190db797e6622e1523b71a760d8a23996
SHA256 bb6211342a7eb1de1d287998cd4e951c2ac1966434e34c53fc51a8e9dfbd6f81
ssdeep 3072:9uTB5mpvVD+aam3ZHCkzRJPC//33FBXUEQdk:QTevolm5vRJPM3FGEQO
File size 98.7 KB ( 101022 bytes )
File type ZIP
Magic literal Zip archive data, at least v2.0 to extract
TrID ZIP compressed archive (100.0%)
Tags zip


VirusTotal metadata
First submission 2014-09-29 13:36:37 UTC ( 4 ore, 56 minuti fa )
Last submission 2014-09-29 18:27:18 UTC ( 6 minuti fa )
Nomi dei files photo.zip

Tuttavia io per evitare qualsiasi evenienza sono solito aprire i file zip, rar, ecc sempre sotto sandobox.
Purtroppo non ho la più pallida idea di cosa sia :(
Cosa vuol dire aprire un file sotto sandobox?
E' un programma questo sandobox?
Sto cercando con google, ma non trovo molto a riguardo.

http://hwupgrade.it/forum/showthread.php?t=1570797 :)

http://hwupgrade.it/forum/showthread.php?t=1570797 :)
Cavolo spettacolo. Non sapevo che esistesse un programma simile.
Lo avessi saputo lo avrei iniziato ad usare già da anni :D

Ieri sera di nuovo la email strana. Cavolo sembra che capiti a cadenza di 12-14 giorni :D
Che cosa strana.
Mi sono segnato anche l'indirizzo email (le altre due volte mi ero dimenticato) da cui proviene eccola: marocchi[@]pirrottibroker.it

Purtroppo non mi dice nulla. Mai avuto a che fare con quella email.

Ieri sera di nuovo sta cavolo di email strana.
Stavolta però a differenza delle altre volte l'allegato era un file .htm
Ho fatto analizzare il file con Avira e me l'ha dato come pulito mentre mandando il file a virustotal.com, 5 antivirus su 53 me lo segnava come HTML/Phish.AU o come Mal/Phish-A (dal nome desumo uno di quei link che se li clikki ti rubano password).
Quelli si che son pericolosi dato che pure se formatti, una volta che ti han fregato una password la formattazione non risolve il problema. E avira come se nulla fosse me lo da come innocuo.
Ovviamente anche questo cestinato al volo.

Semplice Spam niente di più

l'apertura di uno zip non dovrebbe provocare danni
il danno lo fa se lanci l'eseguibile al suo interno nel caso l'antivirus non riconosca il virus

detto questo quando arrivano queste mail l'unica cosa da fare è cancellare cancellare cancellare senza rimpianti

tanto nella foto e nella presunta fattura non c'è mai qualcosa di interessante :D

le email strane con allegato, di tanto in tanto continuano ad arrivare (in media ogni 15-20 giorni).
ho scoperto grazie a questo thread:

http://www.hwupgrade.it/forum/showthread.php?t=2697349

che molto probabilmente si tratta di ctb - locker o di una sua variante.
per cui se vi capita una email con un allegato strano (di solito il file zippato contiene all'interno un file .scr).
per cui occhio anche voi che quel file cripta tutti i dati sul vostro hard disk. a me per fortuna non è successo niente :D

d'accordo KenShiro :D

mai fidarsi ad aprire allegati strani, anzi, buttate via le email di spam senza neanche aprirle, altrimenti potrebbe capitarvi come a quest'uomo intervistato da Enrico Lucci delle Iene :D

http://www.iene.mediaset.it/puntate/2015/02/26/lucci-ancora-dentro-la-truffa_9244.shtml

che poi la cosa che non capisco è , come ho sentito che dicevano in un programma di tecnologie alla radio:

- se uno sconosciuto ti ferma per strada e ti dice che hai vinto 10.000 euro vi fidereste di lui?no...e allora perchè se arriva una mail da uno sconosciuto che vi dice che vi deve rimborsare 10.000 euro vi fidate ad aprire la sua mail?la mente umana è veramente strana...

p.s. non è una critica all'utente che ha aperto il thread, è solo una considerazione generale sulla questione

p.s. non è una critica all'utente che ha aperto il thread, è solo una considerazione generale sulla questione
Bè in realtà io l'allegato contenuto nello zip o nel cab non l'ho mai eseguito. Però l'avevo aperto con Winrar per esplorarne il contenuto.
Fortunatamente per infettarsi oltre ad scompattare lo zip devi pure eseguire il file contenuto all'interno :D
Cmq l'ho aperto solo le prime due volte, poi visto che hanno iniziato ad arrivare di continuo ho cestinato direttamente senza manco più aprire.
E' un po' come quando ti arriva una lettera a casa. Prima di buttarla di solito anche solo per curiosità la apri.