M'è arrivata una mail...

[trokij]

M'è arrivata una mail... di uno studio legale, all'inizio stavo per cestinarla perchè sembrava spam, poi l'ho letta e no era autentica, uno studio legale che m'intimava di smetterla di spammare
Il titolare m'ha scritto che il responsabile della sicurezza gli ha detto che probabilmente è colpa di un worm che ho nel pc e di eliminarlo con questo software: http://www.notmorespyware.biz/
Io l'ho fatto perchè non ho avuto dubbi, l'email è chiaramente autentica, ma qualche dubbio m'è rimasto, ora farò una scansione con hijakthis... cos'altro mi conviene fare?com'è quel link sicuro?

[y4mon]

Quote:

Originariamente inviato da trokij

com'è quel link sicuro?

A me puzza un pò:

la grafica è la stessa dell'interfaccia di Spyware Doctor, ed anche la grafica del sito è simile a quella della PcTools, ci sono pure gli adwards, però se vai nel sito ufficiale:

http://www.pctools.com/

non c'è traccia di un prodotto con quel nome, quindi mi guarderei bene dall'utilizzarlo.

ciao

[lucas84]

Sul sito invita a scaricare il presunto "antivirus",nessun antivirus individua il file tramite le firme virali,ma con l'euristica alcuni antivirus lo segnalano come sospetto,comunque ho visto il file ed è un malware,se non hai eseguito il file puoi stare + che tranquillo,ciao

[trokij]

Quote:

Originariamente inviato da y4mon

A me puzza un pò:

la grafica è la stessa dell'interfaccia di Spyware Doctor, ed anche la grafica del sito è simile a quella della PcTools, ci sono pure gli adwards, però se vai nel sito ufficiale:

http://www.pctools.com/

non c'è traccia di un prodotto con quel nome, quindi mi guarderei bene dall'utilizzarlo.

ciao

tardi,l'ho gia usato
Ma dici che era un email di spam?non sembrava affatto.... potrò postarla qui?

[trokij]

Quote:

Originariamente inviato da lucas84

Sul sito invita a scaricare il presunto "antivirus",nessun antivirus individua il file tramite le firme virali,ma con l'euristica alcuni antivirus lo segnalano come sospetto,comunque ho visto il file ed è un malware,se non hai eseguito il file puoi stare + che tranquillo,ciao

L'ho scaricato ed eseguito ed ho risposto scusando alla mail... sono proprio un pollo

Non credo ci siano problemi sulla legge per la privacy a postare la mail che mi è arrivata, eccola è questa:

Quote:

Gentile utente trokij,

sono l'avvocato Gianluca Gentili titolare dell'omonimo studio Legale,
mi trovo costretto a riscriverle perchè continuano ad arrivarmi
dal suo indirizzo email mioindirizzo@tiscali.it messaggi dal contenuto sconveniente.
La rimando a tal proposito a visionare l'ultimo arrivato,
che riporto in coda a questo messaggio.


Non sono un esperto informatico, tuttavia il sistemista del nostro
studio sostiene che questi invii da parte sua sono probabilmente
involontari e causati da un worm informatico.
Dice inoltre che è possibile rimuovere questo worm con il programma antivirus
scaricabile dall'indirizzo http://www.notmorespyware.biz


Io non ho nè le competenze nè il tempo per verificare l'esattezza
di questa teoria, purtroppo mi trovo costretto a DIFFIDARLA dal
continuare questi invii offensivi alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò
per vie legali senza ulteriore avviso.

Sospenda questi invii o, se si tratta di un virus worm,
ripulisca il suo computer al più presto perchè probabilmente
non sono l'unico che sta ricevendo questa immondizia da lei.

Le ricordo che i reparti di polizia delle telecomunicazioni hanno i mezzi
per risalire alla vera identità del proprietario di
un indirizzo email, per quanto registrato con dati di fantasia o
internazionale. Per cui non creda di poter continuare
a infestare la mia casella email con queste promozioni.



in attesa di un suo sollecito riscontro,
Cordialità

Studio Legale
Gentili e associati
Via Farini 76
Roma

----- Original Message -----
From:
To: 'Studio Gentili e associati'
Sent: Thursday, November 23, 2006 11:32 AM
Subject: fallo girare

apri il documento allegato è un game sessuale!


provalo e fallo girare!!

stammi bene

[y4mon]

Cercando su pagine bianche non risulta nessuno Studio di avvocati a quell'indirizzo a Roma e cmq anche se la mail fosse stata vera, stai tranquillo che nessuno potrebbe sanzionarti x una cosa del genere, se l'invio è effettuato da un worm, a tua insaputa, visto che presumibilmente non saresti l'unico ad esserne affetto.

ciao

[naso]

ma tu che antivirus hai? che protezioni hai?
cmq mi sembra anche a me spam.... nn una cosa vera...
il "Gentile utente trokij" lo hai messo tu x mascherare il tuo nome o cosa?

poi loro nn fanno prima a mettere il tuo indirizzo nell'indesiderati?
è un genio il loro sistemista.. risponde allo spam... così da certezza a chi lo ha mandato che l'indirizzo scelto a caso è vero e utilizzato....

poi ancora.. tu avevi il loro indirizzo in rubrica?

se no, allora è semplicemente spam.... ti hanno fregato...

[trokij]

Quote:

Originariamente inviato da naso

ma tu che antivirus hai? che protezioni hai?
cmq mi sembra anche a me spam.... nn una cosa vera...
il "Gentile utente trokij" lo hai messo tu x mascherare il tuo nome o cosa?

poi loro nn fanno prima a mettere il tuo indirizzo nell'indesiderati?
è un genio il loro sistemista.. risponde allo spam... così da certezza a chi lo ha mandato che l'indirizzo scelto a caso è vero e utilizzato....

poi ancora.. tu avevi il loro indirizzo in rubrica?

se no, allora è semplicemente spam.... ti hanno fregato...

No non avevo il loro indirizzo in rubrica e infatti m'è sembrato strano e gliel'ho scritto nella mail con cui mi scusavo...
Si trokij l'ho scritto io prima c'era il mio indirizzo di posta elettronica.

A me puzza parecchio come cosa... secondo me l'email non è autentica ed è solo un modo per farti scaricare quel programma.

[c.m.g]

Quote:

Originariamente inviato da naso

ma tu che antivirus hai? che protezioni hai?
cmq mi sembra anche a me spam.... nn una cosa vera...
il "Gentile utente trokij" lo hai messo tu x mascherare il tuo nome o cosa?

poi loro nn fanno prima a mettere il tuo indirizzo nell'indesiderati?
è un genio il loro sistemista.. risponde allo spam... così da certezza a chi lo ha mandato che l'indirizzo scelto a caso è vero e utilizzato....

poi ancora.. tu avevi il loro indirizzo in rubrica?

se no, allora è semplicemente spam.... ti hanno fregato...

quoto alla grande, perchè non utilizzare un filtro di spam? ma questo tizio si mette a rispondere a tutta la mail spazzatura che gli arriva? poi come fa a sapere il tuo nick (trokji)? lo hai impostato tu nella visualizzazione del nome della mail?
secondo me questo è un'altra strategia studiata dai virus writer per far eseguire involontariamente un virus sul tuo pc, io lo definirei "trojan email".

[trokij]

Quote:

Originariamente inviato da ekerazha

A me puzza parecchio come cosa... secondo me l'email non è autentica ed è solo un modo per farti scaricare quel programma.

E ci son riusciti alla grande
Caxo che pollo che mi sento... un utonto coi fiocchi
Quello che mi spaventa è che hijack non rileva nulla nel sistema, eppure quell'exe l'ho attivato

Quote:

Originariamente inviato da c.m.g

quoto alla grande, perchè non utilizzare un filtro di spam? ma questo tizio si mette a rispondere a tutta la mail spazzatura che gli arriva? poi come fa a sapere il tuo nick (trokji)? lo hai impostato tu nella visualizzazione del nome della mail?
secondo me questo è un'altra strategia studiata da i virus writer per far eseguire involontariamente un virus sul tuo pc, io lo definirei "trojan email".

No trokij l'ho scritto io, prima c'era l'indirizzo email

[W.S.]

spiace dirlo, ma t'hanno fregato... normalmente non lo direi (non mi piace infierire e non prenderla come una cosa personale, capita a tutti di sbagliare!) ma un richiamo a dei semplici "trucchi" per capire cosa abbiamo di fronte è d'obbligo:

- Una mail non significa nulla, non esiste che qualcuno proceda per vie legali per una mail! Nessuno spende soldi per qualcosa di non dimostrabile.

- Se c'è un link o un allegato che si consiglia di eseguire state certi che non va fatto, cancellate al volo, se è una cosa importante la rispediranno, vi chiameranno per telefono o cose simili.

So che alla maggior parte degli utenti questo sembra banale, ma un momento di distrazione può capitare a tutti, quindi se qualcuno ha altri "trucchetti" da aggiungere credo sia una buona iniziativa.

[lucas84]

Elimina il file in rosso
c:\WINDOWS\system32\webdesk.dll

le chiavi in rosso
HKEY_CLASSES_ROOT\CLSID\{BD2E165D-1BC6-23AA-345B-1C234F173CBD}
HKEY_CLASSES_ROOT\Interface\{BDA8125F-55CA-4168-6D9A-168E76C11ABD}
HKEY_CLASSES_ROOT\TypeLib\{8E28DE0A-6A2E-4CB8-BBF0-BD131DC1A3B4}
HKEY_CLASSES_ROOT\WebDesk.webq
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BD2E165D-1BC6-23AA-345B-1C234F173CBD}

Valore in rosso
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
"MediaD"

[trokij]

Hai perfettamente ragione, me lo merito
In realtà avevo dei dubbi, altre email simili le cestino senza nemmeno leggerle, ma questa, nonostante avessi dei dubbi mi aveva realmente convinto.
Ma come mai higekthis non rileva nulla nel sistema?ho cliccato sull'exe qualcosa deve esserci di certo

[lucas84]

Quote:

Originariamente inviato da trokij

Ma come mai higekthis------> Hijackthis
non rileva nulla nel sistema?ho cliccato sull'exe qualcosa deve esserci di certo

Controlla bene,dovresti visualizzare questo valore
O2 - BHO: Web Desk - {BD2E165D-1BC6-23AA-345B-1C234F173CBD} - C:\WINDOWS\system32\webdesk.dll

[c.m.g]

Quote:

Originariamente inviato da trokij

No trokij l'ho scritto io, prima c'era l'indirizzo email

ah ok!

[Glide]

stamattina è arrivata la stessa mail anche a me, all'inizio sembrava autentica, infatti l'ho riletta per bene un paio di volte però poi alla fine il mio 'sesto senso' mi ha detto che era spam e l'ho cestinata senza neanche cliccare sul link

[bReAkDoWn]

Anch'io opterei per una delle varie pseudo truffe. A me tempo fa ne arrivò una in cui mi intimavano di saldare una fattura non pagata e per ulteriori dettagli mi invitavano ad andare su un sito che poi installava un dialer.
Riguardo alla email invece, ci sono alcuni passaggi un pò troppo minacciosi e per niente professionali, per considerarla seriamente:

Quote:

purtroppo mi trovo costretto a DIFFIDARLA dal
continuare questi invii offensivi alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò
per vie legali senza ulteriore avviso.

Sospenda questi invii o, se si tratta di un virus worm,
ripulisca il suo computer al più presto perchè probabilmente
non sono l'unico che sta ricevendo questa immondizia da lei.

Io starei tranquillo.

[lucas84]

nel codice, sono presenti questi indirizzi:

|*police.it|*poliziadistato.it|*polizia-penitenziaria.it|*polstrada.it|
*poliziamunicipale.it|*polmunicipalemartina.it|*munipol.it|
*polizia.it|*carabinieri.it|*carabinieri-bellinzona.com|
*carabinieri.net|*interno.it|*uilinterno.it|*mininterno.it|*nsd.it|*admi.it|
*concorsi.it|*esteri.it|*codacons.it|*punto-informatico.it|*clusit.it|
criminologia.org|*diritto.it|*agcom.it|*attivissimo.net|
*serviziinformazionesicurezza.gov.it|
*sisde.it|*governo.it|*palazzochigi.it|
|*polizi*|*avvoca*|*finan*|*police*|
*carabini*|*polpost*|*comando*|*questur*|

[trokij]

Quote:

Originariamente inviato da lucas84

Controlla bene,dovresti visualizzare questo valore
O2 - BHO: Web Desk - {BD2E165D-1BC6-23AA-345B-1C234F173CBD} - C:\WINDOWS\system32\webdesk.dll

Si quella l'ho cancellata, grazie
Invece le altre in rosso che m'hai segnalato non le trovo in higekthis