Precedente :: Successivo |
Autore |
Messaggio |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 17 Gen 2010 19:55 Oggetto: [VIRUS] fotodiberlusconi.com |
|
|
Ho ricevuto questa email:
Citazione: | Se volete vedere le foto di lui compromettere Clicca qui per scaricare.
http://fotodib*rlusconi.com/ |
Notare l'italiano stentato, dovuto sicuramente a una traduzione automatica...
Cliccando sul link proposto, si viene indirizzati a una pagina da cui viene automaticamente scaricato un finto salvaschermo: UPD354C.scr
Passando il file a uno dei siti di scansione online, si evidenzia la presenza di una backdoor.
Il sorgente HTML della pagina visitata:
Codice: | <HTML>
<HEAD>
<TITLE>Page has moved</TITLE>
</HEAD>
<BODY>
<META HTTP-EQUIV="Refresh" CONTENT="0; URL=UPD354C.scr">
<A HREF="UPD354C.scr"><B>Click here...</B></A>
</BODY>
</HTML> |
Il comando META HTTP-EQUIV="Refresh" costringe il browser a ricaricare immediatamente la pagina, eseguendo anche il download del virus grazie all'istruzione CONTENT="0; URL=UPD354C.scr".
Il mittente del messaggio sembra utilizzare Outlook Express 6 non aggiornato.
Codice: | Received: from User ([82.92.58.41]) by slawleys.co.uk with Microsoft SMTPSVC(6.0.3790.3959);
Sun, 17 Jan 2010 03:40:05 +0000
From: "admin@fotodiberlusconi.com"<admin@fotodiberlusconi.com>
Subject: [SPAM] Silvio Berlusconi
Date: Sun, 17 Jan 2010 04:42:11 +0100
MIME-Version: 1.0
Content-Type: text/html; charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Message-ID: <SERVER1RIjn04x29xDb000007b1@slawleys.co.uk> |
Probabilmente, si tratta di un pc "zombie"...
Ho provato a fare un paio di ricerche per conoscere il "volpone" che ha registrato il sito:
Citazione: | whois.crsnic.net
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: FOTODIBERLUSCONI.COM
Registrar: DOMAINPEOPLE, INC.
Whois Server: whois.domainpeople.com
Referral URL: http://www.domainpeople.com
Name Server: A.DNS.HOSTWAY.NET
Name Server: B.DNS.HOSTWAY.NET
Status: clientTransferProhibited
Updated Date: 16-jan-2010
Creation Date: 16-jan-2010
Expiration Date: 16-jan-2012
>>> Last update of whois database: Sun, 17 Jan 2010 17:26:22 UTC <<< |
Citazione: | | Registrant:
| Elbert Lemons (fotodiberlusconi.com)
| 702 NE Front St.
|
| Vivian, LA 71082
| US
|
| Registrar: DomainPeople Inc.
|
| Domain Name: fotodiberlusconi.com
| Created on .............2010-01-16-18.40.38.395000
| Expires on .............2012-01-16-18.40.38.000000
| Record last updated on .
| Status .................ACTIVE
|
| Administrative Contact:
| Elbert Lemons
| Elbert Lemons
| 702 NE Front St.
|
| Vivian, LA
| 71082, US
| +1.3183752711
|
| genelemontr54@yahoo.com
|
| Technical Contact:
| Elbert Lemons
| Elbert Lemons
| 702 NE Front St.
|
| Vivian, LA
| 71082, US
| +1.3183752711
|
| genelemontr54@yahoo.com
|
| Domain servers in listed order:
| a.dns.hostway.net
| b.dns.hostway.net
|
| (fotodiberlusconi.com) |
Ovviamente, è solo una ricerca di base senza approfondimenti di sorta.
PS: Ho volutamente sostituito una lettera per evitare click accidentali.
Chi vuole andare a scaricare il suddetto file, lo fa a proprio rischio e pericolo!  |
|
Top |
|
 |
kevin Moderatore Caffè dell'Olimpo


Registrato: 08/02/07 10:52 Messaggi: 15785 Residenza: Qui se guardi da lì
|
Inviato: 17 Gen 2010 22:16 Oggetto: Re: [VIRUS] fotodiberlusconi.com |
|
|
bdoriano ha scritto: |
Chi vuole andare a scaricare il suddetto file, lo fa a proprio rischio e pericolo!  |
.. e sarebbe anche il minimo, visto cosa andrebbe a scaricare! |
|
Top |
|
 |
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|