[NEWS] Dialer:si diffonde via email ed è capace di moltiplicarsi.

c.m.g · 22-09-2007, 13:41

Notizia pubblicata il 20/09/2007

Vi ricordate il capitano Prisco Mazzi, bene…Il suo alterego adesso si chiama Anna Camuzzi e con un e-mail dai toni già visti invita i nuovi malcapitati utenti a visionare il “documento” in allegato o in alternativa scaricarlo da una apposito sito web. Ovviamente si tratta di un nuovo dialer, capace di instradare la chiamata su linea analogica del computer verso numeri a tariffazione maggiorata 899, ma non è tutto. Procediamo con ordine…

Il sito web ospitato nell’ormai tristemente noto server cinese sicure-mail.com oltre a tentare di avviare in automatico il download del dialer per gli utenti di Internet Explorer, che amano tenere il proprio browser non aggiornato, questa volta sfruttando un <iframe> abilmente nascosto verifica se il computer dell’utente è vulnerabile ad una serie di bug, tra cui la famosa vulnerabilità del cursore, il tutto per tentare di installare in maniera silenziosa, ossia senza che l’utente si accorga di nulla, la backdoor Bifrose (definizione Symantec) capace di aprire una porta di accesso segreta a disposizione del truffatore nel computer colpito.

Il sito web www.sicure-mail.com

Il codice della pagina documenti.htm. Contiene del codice crittografato il quale nasconde un <IFRAME>

Il codice sorgente contenuto nel sito maligno collegato al <IFRAME>

Intanto il dialer identificato dal nome allegato.exe, auto-installatori nel computer del utente in automatico o con l’ignara complicità dello stesso, provvede a deviare la connessione Internet (non per gli utenti ADSL) verso i seguenti numeri 899: 8990329**,8990203**,8993993**,8995025**,8993993** rilasciati rispettivamente da CSINFO S.p.A., Wind Telecomunicazioni S.p.A. e Karupa S.p.A.

Ma questa volta riserva anche una spiacevole sorpresa. E’ infatti capace di autoinviarsi a tutti i contatti presenti nella rubrica di outlook express, attraverso al seguente e-mail, la quale in allegato contiene il file importante.zip o fotoamodomenica.exe (uguali nel funzionamento ad allegato.exe)

Il truffatore questa volta aumenta il livello di pericolosità del proprio sito trappola e dialer, capaci non solo di minacciare l’utente su più fronti, i quali potrebbero dare origine ad una nuova infezione di massa di gran lunga superiore a quella vissuta nel dicembre 2006. I presupposti ci sono tutti. Adesso spetta agli utenti aggiornare il proprio sistema e software anti-virus visto che questa volta il pericolo potrebbe “arrivare” da un loro amico o conoscente.

Link articolo

Fonte: WebMasterPoint.org e Anti-Phishing Italia

Riverside · 22-09-2007, 14:31

Sistemiamo la cosa nella maniera più semplice??
per bloccare la creazione di nuovi accessi remoti ed evitare l’autoinstallazione di Dialer:

● Risorse del Computer
● Disco locale C:
● Documents and Settings
● All Users

Strumenti \ Opzioni cartella \ Visualizzazione spuntare Visualizza file e cartelle nascoste - Applica

poi, proseguire, con:

● Dati applicazioni
● Microsoft
● Network
● Connections
● Pbk
● tasto destro del mouse sul file rasphone.pbk - Proprietà mettere la spunta alla voce solo lettura

Se in futuro dovesse essere necessario attivare nuovi connessioni, rasphone.pbk deve essere riportato alla condizione originaria.

Un saluto al Cap. Mazzi (che, Capitano non è ) ed a tutti i suo emuli

c.m.g · 22-09-2007, 16:19

Quote:

Originariamente inviato da Riverside

Sistemiamo la cosa nella maniera più semplice??
per bloccare la creazione di nuovi accessi remoti ed evitare l’autoinstallazione di Dialer:

● Risorse del Computer
● Disco locale C:
● Documents and Settings
● All Users

Strumenti \ Opzioni cartella \ Visualizzazione spuntare Visualizza file e cartelle nascoste - Applica

poi, proseguire, con:

● Dati applicazioni
● Microsoft
● Network
● Connections
● Pbk
● tasto destro del mouse sul file rasphone.pbk - Proprietà mettere la spunta alla voce solo lettura

Se in futuro dovesse essere necessario attivare nuovi connessioni, rasphone.pbk deve essere riportato alla condizione originaria.

Un saluto al Cap. Mazzi (che, Capitano non è ) ed a tutti i suo emuli

credimi riverside, mi duole veramente contraddirti

ma oramai questo metodo è veramente vecchio e non funziona più nella maggior parte dei casi. esistono molti virus polimorfici che cambiano gli "attributi" (

) del file e lo modificano. questo sistema è stato discusso molto anche in questo tread: http://www.hwupgrade.it/forum/showthread.php?t=1337681

purtroppo ci sono molti utenti che si sono infettati lo stesso anche con questo sistema con ad esempio il rootkit dial.call.

c.m.g · 23-09-2007, 21:47

*

sampei.nihira · 23-09-2007, 22:06

Un motivo in più per consigliare agli utenti non ADSL di:

a) Utilizzare un soft di posta elettronica alternativo a Outlook.
b) Integrare questo eventualmente con un monitor di e-mail.

22-09-2007, 13:41	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] Dialer:si diffonde via email ed è capace di moltiplicarsi. Notizia pubblicata il 20/09/2007 Vi ricordate il capitano Prisco Mazzi, bene…Il suo alterego adesso si chiama Anna Camuzzi e con un e-mail dai toni già visti invita i nuovi malcapitati utenti a visionare il “documento” in allegato o in alternativa scaricarlo da una apposito sito web. Ovviamente si tratta di un nuovo dialer, capace di instradare la chiamata su linea analogica del computer verso numeri a tariffazione maggiorata 899, ma non è tutto. Procediamo con ordine… Il sito web ospitato nell’ormai tristemente noto server cinese sicure-mail.com oltre a tentare di avviare in automatico il download del dialer per gli utenti di Internet Explorer, che amano tenere il proprio browser non aggiornato, questa volta sfruttando un <iframe> abilmente nascosto verifica se il computer dell’utente è vulnerabile ad una serie di bug, tra cui la famosa vulnerabilità del cursore, il tutto per tentare di installare in maniera silenziosa, ossia senza che l’utente si accorga di nulla, la backdoor Bifrose (definizione Symantec) capace di aprire una porta di accesso segreta a disposizione del truffatore nel computer colpito. Il sito web www.sicure-mail.com Il codice della pagina documenti.htm. Contiene del codice crittografato il quale nasconde un <IFRAME> Il codice sorgente contenuto nel sito maligno collegato al <IFRAME> Intanto il dialer identificato dal nome allegato.exe, auto-installatori nel computer del utente in automatico o con l’ignara complicità dello stesso, provvede a deviare la connessione Internet (non per gli utenti ADSL) verso i seguenti numeri 899: 8990329,8990203,8993993,8995025,8993993 rilasciati rispettivamente da CSINFO S.p.A., Wind Telecomunicazioni S.p.A. e Karupa S.p.A. Ma questa volta riserva anche una spiacevole sorpresa. E’ infatti capace di autoinviarsi a tutti i contatti presenti nella rubrica di outlook express, attraverso al seguente e-mail, la quale in allegato contiene il file importante.zip o fotoamodomenica.exe (uguali nel funzionamento ad allegato.exe) Il truffatore questa volta aumenta il livello di pericolosità del proprio sito trappola e dialer, capaci non solo di minacciare l’utente su più fronti, i quali potrebbero dare origine ad una nuova infezione di massa di gran lunga superiore a quella vissuta nel dicembre 2006. I presupposti ci sono tutti. Adesso spetta agli utenti aggiornare il proprio sistema e software anti-virus visto che questa volta il pericolo potrebbe “arrivare” da un loro amico o conoscente. Link articolo Fonte**: WebMasterPoint.org e Anti-Phishing Italia

22-09-2007, 14:31	#2
Riverside Bannato Iscritto dal: Jul 2007 Città: Riverside House Messaggi: 3333	Sistemiamo la cosa nella maniera più semplice?? per bloccare la creazione di nuovi accessi remoti ed evitare l’autoinstallazione di Dialer: ● Risorse del Computer ● Disco locale C: ● Documents and Settings ● All Users Strumenti \ Opzioni cartella \ Visualizzazione spuntare Visualizza file e cartelle nascoste - Applica poi, proseguire, con: ● Dati applicazioni ● Microsoft ● Network ● Connections ● Pbk ● tasto destro del mouse sul file rasphone.pbk - Proprietà mettere la spunta alla voce solo lettura Se in futuro dovesse essere necessario attivare nuovi connessioni, rasphone.pbk deve essere riportato alla condizione originaria. Un saluto al Cap. Mazzi (che, Capitano non è ) ed a tutti i suo emuli

23-09-2007, 21:47	#4
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	*

23-09-2007, 22:06	#5
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Un motivo in più per consigliare agli utenti non ADSL di: a) Utilizzare un soft di posta elettronica alternativo a Outlook. b) Integrare questo eventualmente con un monitor di e-mail.

Strumenti
Mostra una versione stampabile Invia questa pagina per email