Pagine

venerdì 30 marzo 2007

Spam, ci si mette anche Microsoft?

Zio Bill non invia e-mail con mittente admin@microsoft.com; si tratta di spam con contorno di virus

Mi sono piovute nella mailbox (dopo quella del finto avvocato, del Viagra, del guadagno facile e di Poste.it) 2 e-mail apparentemente inviate da Microsoft; così, giusto per non farci mancare niente:




Naturalmente non le ha mandate zio Bill: Microsoft ha infatti ben altro da fare che spedire e-mail agli utenti. Vediamo un pò, quindi, di chiarire anche questo "mistero".

Dunque, come al solito, la prima cosa da fare in questi casi è analizzare un pochino il messaggio. L'indicazione del fuso orario, quindi della zona in cui risiede il server di posta da cui sono partiti i messaggi, indica +0200, quindi l'e-mail è partita da uno di questi paesi. L'indicazione è ancora un pò vaga, perciò proviamo a immettere la stringa admin@microsoft.com in Google. Ok, abbiamo così dissipato i dubbi residui: si tratta di spam. Vediamo adesso un pochino più in dettaglio cosa fa questa mail.

In entrambi i messaggi è presente un immagine linkabile di Internet Explorer 7, che invita a effettuare il download della beta 2 della nuova versione:



Cliccando sull'immagine si apre una finestra che chiede di aprire o salvare un file chiamato IE.0.7.exe (notate l'estensione pericolosa .exe). Lo salvo sul desktop e ci faccio l'autopsia:



Primo indizio che indica qualcosa di strano: possibile che I.E. "pesi" solo poco più di 32 KByte? Così, a occhio e croce dovrebbe pesare almeno qualche MByte. Diamo un'occhiata anche ai due siti dai quali si scarica l'eseguibile sospetto (che certamente a questo punto Internet Explorer non è): uno si chiama http://abnoba.net, e risulta hostato su un server statunitense ubicato in quel di Phoenix. Il sito linkato invece nella seconda delle due mail si chiama http://jpcommunications.net e risulta anche questo hostato su un server ubicato negli Stati Uniti, a Waltham.

Insomma, come confermato anche da altri che hanno ricevuto i medesimi messaggi (pur con alcune varianti), si tratta di spam puro e semplice. In più, analizzando il famoso IE.0.7.exe appena scaricato con un antivirus, si scopre che contiene al suo interno un programmino chiamato Virus.Win32.Grum.a, e cioè un virus scoperto pochi giorni fa del quale, in virtù proprio della sua recente scoperta, ancora non si hanno a disposizione le caratteristiche precise:



Bene, mi pare che a questo punto la situazione sia sufficientemente chiara. Anche questa volta, quindi, come al solito, vale sempre la raccomandazione di non fidarsi di tutto quello che ci arriva nella casella di posta, ma di mettere in atto una sana opera di selezione basata sul semplice ma funzionale principio di social engineering: "Non fidatevi di nessuno su internet fino a prova contraria".

2 commenti: