Bookface

cloutz · 02-09-2009, 10:53

Ciao ragazzi

volevo segnalarvi oggi una cosa carina, di cui molto probabilmente eravate già a conoscenza (io no, data la mia lunga assenza dalla scena)...

tutto parte da una mail di un mio amico di FB:

con sospetto apro il link in VM, con Opera sandboxato (con DW) e mi appare questo messaggio di facebook, dove mi viene consigliato (giustamente) di inserire i miei dati solo nel vero sito di fb:

non inserisco i dati e continuo..arrivando alla vera pagina incriminata (dall'indirizzo notiamo subito che non ha niente a che fare con fb):

è molto evidente, inoltre, la bassa qualità della grafica, il fatto che nessun tasto funzioni...poi la tipica richiesta del download flash è tutto un programma

... insomma un banale screen di un utente con facebook inglese (neanche italiano) dovrebbe metterci in crisi..

io faccio finta di niente e parte un download in automatico del file setup.exe..lo scarico e lo faccio analizzare a virustotal:
http://www.virustotal.com/analisis/a...496-1251879741

il file rimane sandboxato, ricevo alcuni avvisi dell'hips, che nego..

ormai è ovvio che si tratta del koobface che, a quanto so, dovrebbe rubare dati personali e reindirizzare a siti truffa...

Alla fine, per non rischiare, "svuoto" la sandbox di DW ed elimino tutti i dati personali..

l'ennesimo tentativo di truffa...

Saluti

**Chill-Out** · 02-09-2009, 12:30

Dovrebbe essere l'ultima variante.

cloutz · 02-09-2009, 12:50

tra l'altro su internet avevo capito che si veniva infettati anche solo scaricando il file (che dovrebbe, quindi, leggere nella cache del browser inviando i dati trovati all'esterno...o qualcosa di simile)...

ma sicuramente avrò capito male io, anche perchè non ho verificato nessun comportamento sospetto se il malware non viene eseguito

Saluti

sampei.nihira · 02-09-2009, 15:18

Informo gli utenti che per accedere alla lettura delle immagini in thumb inserite da Cloutz con Opera occorre impostare il browser con il parametro "accetta i cookie solo dal sito che si visita".
L'impostazione predefinita che uso io cioè "non accettare mai i cookie" ovviamente non funziona.
Basta cambiare il parametro in "modifica le preferenze per questo sito.

02-09-2009, 10:53	#1
cloutz Senior Member Iscritto dal: Apr 2008 Messaggi: 2000	Bookface Ciao ragazzi volevo segnalarvi oggi una cosa carina, di cui molto probabilmente eravate già a conoscenza (io no, data la mia lunga assenza dalla scena)... tutto parte da una mail di un mio amico di FB: con sospetto apro il link in VM, con Opera sandboxato (con DW) e mi appare questo messaggio di facebook, dove mi viene consigliato (giustamente) di inserire i miei dati solo nel vero sito di fb: non inserisco i dati e continuo..arrivando alla vera pagina incriminata (dall'indirizzo notiamo subito che non ha niente a che fare con fb): è molto evidente, inoltre, la bassa qualità della grafica, il fatto che nessun tasto funzioni...poi la tipica richiesta del download flash è tutto un programma ... insomma un banale screen di un utente con facebook inglese (neanche italiano) dovrebbe metterci in crisi.. io faccio finta di niente e parte un download in automatico del file setup.exe..lo scarico e lo faccio analizzare a virustotal: http://www.virustotal.com/analisis/a...496-1251879741 il file rimane sandboxato, ricevo alcuni avvisi dell'hips, che nego.. ormai è ovvio che si tratta del *koobface* che, a quanto so, dovrebbe rubare dati personali e reindirizzare a siti truffa... Alla fine, per non rischiare, "svuoto" la sandbox di DW ed elimino tutti i dati personali.. l'ennesimo tentativo di truffa... Saluti __________________ "Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 02-09-2009 alle 11:19.

02-09-2009, 12:30	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Dovrebbe essere l'ultima variante. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

02-09-2009, 12:50	#3
cloutz Senior Member Iscritto dal: Apr 2008 Messaggi: 2000	tra l'altro su internet avevo capito che si veniva infettati anche solo scaricando il file (che dovrebbe, quindi, leggere nella cache del browser inviando i dati trovati all'esterno...o qualcosa di simile)... ma sicuramente avrò capito male io, anche perchè non ho verificato nessun comportamento sospetto se il malware non viene eseguito Saluti __________________ "Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122

02-09-2009, 15:18	#4
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Informo gli utenti che per accedere alla lettura delle immagini in thumb inserite da Cloutz con Opera occorre impostare il browser con il parametro "accetta i cookie solo dal sito che si visita". L'impostazione predefinita che uso io cioè "non accettare mai i cookie" ovviamente non funziona. Basta cambiare il parametro in "modifica le preferenze per questo sito.

Strumenti
Mostra una versione stampabile Invia questa pagina per email