Email Strana con allegato

[paditora]

Salve a tutti.
Stasera scaricando la posta elettronica tra le decine di messaggi di spam che mi arrivano puntualmente ogni giorno da parte di Vodafone, Telecom, Amazon eprice e altri vari siti, mi è arrivata una email un po' insolita che finora non ho mai ricevuto.
Nel testo della email c'era scritto semplicemente: "Inviato dal mio..." e c'era il nome di uno smartphone o di qualche dispositivo mobile che però ora non ricordo il nome. Le cose strane sono due:
1) quel mittente non so manco chi fosse. L'indirizzo non ce l'ho in rubrica e l'indirizzo email mai visto prima di oggi
2) oltre al messaggio c'era un allegato chiamato photo.zip
Cosa molto insolita dato che anche con i messaggi di spam non arrivano, salvo rare eccezioni, degli allegati.
Per curiosità ho salvato il file sul desktop e gli ho fatto una scansione con Avira che però non mi ha trovato nulla. Poi ho provato ad aprirlo senza scompattarlo per vedere che caspita c'era dentro e all'interno conteneva un file chiamato photo.scr.
Ovviamente a sto punto ho preso e ho cancellato tutto senza estrarre il contenuto dello zip.
Dite che poteva essere un virus?
E se lo fosse stato aprendo lo zip, ma senza scompattare il contenuto mi sono infettato ugualmente o dovrei stare tranquillo?
Cmq ho provato a fare una scansione con Avira, ma non mi ha trovato nulla sul Pc.
Cmq è la prima volta che mi capita una cosa del genere. Vado tranquillo o devo preoccuparmi? E un'altra cosa volevo sapere: aprendo solo gli zip senza scompattarli si rischia lo stesso di infettarsi oppure bisogna proprio estrarre ed eseguire i files contenuti al loro interno?

[paditora]

Cercando un po' su google la parola: "photo.zip" ho trovato questo sito che sembra proprio una cosa simile capitata a me:
http://sdoppiamocupido.blogspot.it/2...vari-come.html

Quoto la parte interessante:

Quote:

Infine un caso pratico per capire che non ci si può fidare degli antivirus. Ho ricevuto ieri da tale Reginochka una mail in inglese in cui dice di chiamarsi Ekaterina, di essere russa e che gli piacerebbe conoscermi. In allegato PHOTOS.zip (122 kB) che contiene un file .scr (estensione per screensaver, tipo di file spesso utilizzato per infettare i PC). Ma in questo caso non si tratta di qualcuno che si spaccia per una bella ragazza russa allo scopo di estorcere denaro (SCAM), ma al 99,9% di un allegato infetto.
Invece di cestinare il tutto come faccio di solito provo a controllare l'allegato.
Microsoft Essential mi dice che non è infetto, ma so bene che tale antivirus non è infallibile.
Malwarebyte invece rileva la presenza di malware che chiama Trojan.Zbot

Cavolo sembra molto simile a come è capitato a me e l'allegato se non sbaglio aveva dimensioni simili (sui 100-120KB).
Io il file .scr non l'ho estratto e non l'ho eseguito però con Winrar ho aperto il file .zip (dopo averlo prima controllato con Avira) per vedere cosa c'era dentro. Dopo che ho visto il contenuto, senza nè scompattarlo nè eseguirlo l'ho cestinato.
Aprendo un file .zip che contiene un virus si rischia lo stesso l'infezione? Cmq Avira non mi aveva trovato niente. Boh speriamo in bene.

[Draven94]

Per toglierti il dubbio e considerando che nel post precedente si è detto che MBAM lo rileva come Trojan, io farei una scansione proprio con MBAM.

[Chill-Out]

Quote:

Originariamente inviato da paditora

Cercando un po' su google la parola: "photo.zip" ho trovato questo sito che sembra proprio una cosa simile capitata a me:
http://sdoppiamocupido.blogspot.it/2...vari-come.html

Quoto la parte interessante:



Cavolo sembra molto simile a come è capitato a me e l'allegato se non sbaglio aveva dimensioni simili (sui 100-120KB).
Io il file .scr non l'ho estratto e non l'ho eseguito però con Winrar ho aperto il file .zip (dopo averlo prima controllato con Avira) per vedere cosa c'era dentro. Dopo che ho visto il contenuto, senza nè scompattarlo nè eseguirlo l'ho cestinato.
Aprendo un file .zip che contiene un virus si rischia lo stesso l'infezione? Cmq Avira non mi aveva trovato niente. Boh speriamo in bene.

Quindi l'hai scompattato, nel caso specifico se non hai mandato in esecuzione il file .scr non ci sono problemi, suggerisco dovesse succedere ancora di cestinare immediatamente.

[paditora]

Quote:

Originariamente inviato da Chill-Out

Quindi l'hai scompattato, nel caso specifico se non hai mandato in esecuzione il file .scr non ci sono problemi, suggerisco dovesse succedere ancora di cestinare immediatamente.

Bè in realtà non l'ho neanche scompattato. Ho aperto winrar ho visto cosa c'era all'interno dello zip e poi ho cestinato senza nemmeno scompattare.
Cmq ho provato anche Malwarebyte e anche lui non mi trova niente.

Cmq la domanda o meglio la mia curiosità più che altro era un'altra: "quando ti capita un file .zip o .rar che contiene un virus, un trojan o un malware, senza scompattarlo ma esplorando solo il contenuto dello zip si rischia lo stesso di prendere qualche virus o si dovrebbe stare tranquilli?

[Draven94]

Quote:

Originariamente inviato da paditora

Bè in realtà non l'ho neanche scompattato. Ho aperto winrar ho visto cosa c'era all'interno dello zip e poi ho cestinato senza nemmeno scompattare.
Cmq ho provato anche Malwarebyte e anche lui non mi trova niente.

Cmq la domanda o meglio la mia curiosità più che altro era un'altra: "quando ti capita un file .zip o .rar che contiene un virus, un trojan o un malware, senza scompattarlo ma esplorando solo il contenuto dello zip si rischia lo stesso di prendere qualche virus o si dovrebbe stare tranquilli?

Fino al momento in cui non esegui il file contenuto nel pacchetto dovresti essere al riparo. Tuttavia io per evitare qualsiasi evenienza sono solito aprire i file zip, rar, ecc sempre sotto sandobox.

[paditora]

Stasera mi è arrivata di nuovo la email strana sempre con quell'allegato photo.zip

Stavolta non ho nemmeno esplorato il contenuto con Winrar però prima di cancellarlo per curiosità l'ho inviato e fatto scansionare su virustotal.com.
Tra l'altro ho visto che oltre che a a me, il tizio l'ha mandato ad altre decine di persone per Cc.
E anche stavolta il tizio non ho idea di chi diavolo sia.
Ecco il risultato:


HA256: bb6211342a7eb1de1d287998cd4e951c2ac1966434e34c53fc51a8e9dfbd6f81
Nome del file: photo.zip
Rapporto rilevamento: 13 / 55
Data analisi: 2014-09-29 18:16:41 UTC ( 0 minuti fa )

Codice:

Antivirus		Risultato		Aggiornamento



AVG			Generic36.AEIP		20140929
Avast			Win32:Malware-gen	20140929
Baidu-International	Worm.Win32.Gamarue.cAN	20140929
ClamAV			Zip.Suspect.ExecutablePhoto-zippwd-2	20140929
DrWeb			BackDoor.Andromeda.404	20140929
ESET-NOD32		a variant of Win32/Injector.BMPI	20140929
Ikarus			Worm.Win32.Gamarue	20140929
K7AntiVirus		Trojan ( 7000000c1 )	20140929
K7GW			Trojan ( 7000000c1 )	20140929
Malwarebytes		Trojan.Agent		20140929
Microsoft		Worm:Win32/Gamarue.AN	20140929
Qihoo-360		HEUR/Malware.QVM10.Gen	20140929
Sophos			Mal/DrodZp-A		20140929
AVware						20140929
Ad-Aware					20140929
AegisLab					20140929
Agnitum						20140929
AhnLab-V3					20140929
Antiy-AVL					20140929
Avira						20140929
BitDefender					20140929
Bkav						20140929
ByteHero					20140929
CAT-QuickHeal					20140929
CMC						20140925
Comodo						20140929
Cyren						20140929
Emsisoft					20140929
F-Prot						20140929
F-Secure					20140929
Fortinet					20140929
GData						20140929
Jiangmin					20140928
Kaspersky					20140929
Kingsoft					20140929
McAfee						20140929
McAfee-GW-Edition				20140929
MicroWorld-eScan				20140929
NANO-Antivirus					20140929
Norman						20140929
Panda						20140929
Rising						20140929
SUPERAntiSpyware				20140929
Symantec					20140929
Tencent						20140929
TheHacker					20140929
TotalDefense					20140929
TrendMicro					20140929
TrendMicro-HouseCall				20140929
VBA32						20140929
VIPRE						20140929
ViRobot						20140929
Zillya						20140929
Zoner						20140929
nProtect					20140929

MD5 		d490d44f564668b9114676719bf268fb
SHA1 		c1dc7a4190db797e6622e1523b71a760d8a23996
SHA256 		bb6211342a7eb1de1d287998cd4e951c2ac1966434e34c53fc51a8e9dfbd6f81
ssdeep		3072:9uTB5mpvVD+aam3ZHCkzRJPC//33FBXUEQdk:QTevolm5vRJPM3FGEQO
File size 	98.7 KB ( 101022 bytes )
File type 	ZIP
Magic literal	Zip archive data, at least v2.0 to extract
TrID		ZIP compressed archive (100.0%)
Tags		zip


VirusTotal metadata
First submission	2014-09-29 13:36:37 UTC ( 4 ore, 56 minuti fa )
Last submission 	2014-09-29 18:27:18 UTC ( 6 minuti fa )
Nomi dei files		photo.zip

[paditora]

Quote:

Originariamente inviato da Draven94

Tuttavia io per evitare qualsiasi evenienza sono solito aprire i file zip, rar, ecc sempre sotto sandobox.

Purtroppo non ho la più pallida idea di cosa sia
Cosa vuol dire aprire un file sotto sandobox?
E' un programma questo sandobox?
Sto cercando con google, ma non trovo molto a riguardo.

[Draven94]

http://hwupgrade.it/forum/showthread.php?t=1570797

[paditora]

Quote:

Originariamente inviato da Draven94

http://hwupgrade.it/forum/showthread.php?t=1570797

Cavolo spettacolo. Non sapevo che esistesse un programma simile.
Lo avessi saputo lo avrei iniziato ad usare già da anni

[paditora]

Ieri sera di nuovo la email strana. Cavolo sembra che capiti a cadenza di 12-14 giorni
Che cosa strana.
Mi sono segnato anche l'indirizzo email (le altre due volte mi ero dimenticato) da cui proviene eccola: marocchi[@]pirrottibroker.it

Purtroppo non mi dice nulla. Mai avuto a che fare con quella email.

[paditora]

Ieri sera di nuovo sta cavolo di email strana.
Stavolta però a differenza delle altre volte l'allegato era un file .htm
Ho fatto analizzare il file con Avira e me l'ha dato come pulito mentre mandando il file a virustotal.com, 5 antivirus su 53 me lo segnava come HTML/Phish.AU o come Mal/Phish-A (dal nome desumo uno di quei link che se li clikki ti rubano password).
Quelli si che son pericolosi dato che pure se formatti, una volta che ti han fregato una password la formattazione non risolve il problema. E avira come se nulla fosse me lo da come innocuo.
Ovviamente anche questo cestinato al volo.

[Chill-Out]

Semplice Spam niente di più

[Unax]

l'apertura di uno zip non dovrebbe provocare danni
il danno lo fa se lanci l'eseguibile al suo interno nel caso l'antivirus non riconosca il virus

detto questo quando arrivano queste mail l'unica cosa da fare è cancellare cancellare cancellare senza rimpianti

tanto nella foto e nella presunta fattura non c'è mai qualcosa di interessante

[paditora]

le email strane con allegato, di tanto in tanto continuano ad arrivare (in media ogni 15-20 giorni).
ho scoperto grazie a questo thread:

http://www.hwupgrade.it/forum/showthread.php?t=2697349

che molto probabilmente si tratta di ctb - locker o di una sua variante.
per cui se vi capita una email con un allegato strano (di solito il file zippato contiene all'interno un file .scr).
per cui occhio anche voi che quel file cripta tutti i dati sul vostro hard disk. a me per fortuna non è successo niente

[Unax]

d'accordo KenShiro

[Er Monnezza]

mai fidarsi ad aprire allegati strani, anzi, buttate via le email di spam senza neanche aprirle, altrimenti potrebbe capitarvi come a quest'uomo intervistato da Enrico Lucci delle Iene

http://www.iene.mediaset.it/puntate/...ffa_9244.shtml

[jotaro75]

che poi la cosa che non capisco è , come ho sentito che dicevano in un programma di tecnologie alla radio:

- se uno sconosciuto ti ferma per strada e ti dice che hai vinto 10.000 euro vi fidereste di lui?no...e allora perchè se arriva una mail da uno sconosciuto che vi dice che vi deve rimborsare 10.000 euro vi fidate ad aprire la sua mail?la mente umana è veramente strana...

p.s. non è una critica all'utente che ha aperto il thread, è solo una considerazione generale sulla questione

[paditora]

Quote:

Originariamente inviato da jotaro75

p.s. non è una critica all'utente che ha aperto il thread, è solo una considerazione generale sulla questione

Bè in realtà io l'allegato contenuto nello zip o nel cab non l'ho mai eseguito. Però l'avevo aperto con Winrar per esplorarne il contenuto.
Fortunatamente per infettarsi oltre ad scompattare lo zip devi pure eseguire il file contenuto all'interno
Cmq l'ho aperto solo le prime due volte, poi visto che hanno iniziato ad arrivare di continuo ho cestinato direttamente senza manco più aprire.
E' un po' come quando ti arriva una lettera a casa. Prima di buttarla di solito anche solo per curiosità la apri.