Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
[VIRUS] fotodiberlusconi.com
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 17 Gen 2010 19:55    Oggetto: [VIRUS] fotodiberlusconi.com Rispondi citando
Ho ricevuto questa email:
Citazione:
Se volete vedere le foto di lui compromettere Clicca qui per scaricare.

http://fotodib*rlusconi.com/

Notare l'italiano stentato, dovuto sicuramente a una traduzione automatica... Laughing

Cliccando sul link proposto, si viene indirizzati a una pagina da cui viene automaticamente scaricato un finto salvaschermo: UPD354C.scr
Passando il file a uno dei siti di scansione online, si evidenzia la presenza di una backdoor.

Il sorgente HTML della pagina visitata:
Codice:
<HTML>
<HEAD>
<TITLE>Page has moved</TITLE>
</HEAD>
<BODY>
<META HTTP-EQUIV="Refresh" CONTENT="0; URL=UPD354C.scr">
<A HREF="UPD354C.scr"><B>Click here...</B></A>
</BODY>
</HTML>

Il comando META HTTP-EQUIV="Refresh" costringe il browser a ricaricare immediatamente la pagina, eseguendo anche il download del virus grazie all'istruzione CONTENT="0; URL=UPD354C.scr".

Il mittente del messaggio sembra utilizzare Outlook Express 6 non aggiornato.
Codice:
Received: from User ([82.92.58.41]) by slawleys.co.uk with Microsoft SMTPSVC(6.0.3790.3959);
    Sun, 17 Jan 2010 03:40:05 +0000
From: "admin@fotodiberlusconi.com"<admin@fotodiberlusconi.com>
Subject: [SPAM] Silvio Berlusconi
Date: Sun, 17 Jan 2010 04:42:11 +0100
MIME-Version: 1.0
Content-Type: text/html;   charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Message-ID: <SERVER1RIjn04x29xDb000007b1@slawleys.co.uk>

Probabilmente, si tratta di un pc "zombie"...

Ho provato a fare un paio di ricerche per conoscere il "volpone" che ha registrato il sito:
Citazione:
whois.crsnic.net

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: FOTODIBERLUSCONI.COM
Registrar: DOMAINPEOPLE, INC.
Whois Server: whois.domainpeople.com
Referral URL: http://www.domainpeople.com
Name Server: A.DNS.HOSTWAY.NET
Name Server: B.DNS.HOSTWAY.NET
Status: clientTransferProhibited
Updated Date: 16-jan-2010
Creation Date: 16-jan-2010
Expiration Date: 16-jan-2012

>>> Last update of whois database: Sun, 17 Jan 2010 17:26:22 UTC <<<

Citazione:
| Registrant:
| Elbert Lemons (fotodiberlusconi.com)
| 702 NE Front St.
|
| Vivian, LA 71082
| US
|
| Registrar: DomainPeople Inc.
|
| Domain Name: fotodiberlusconi.com
| Created on .............2010-01-16-18.40.38.395000
| Expires on .............2012-01-16-18.40.38.000000
| Record last updated on .
| Status .................ACTIVE
|
| Administrative Contact:
| Elbert Lemons
| Elbert Lemons
| 702 NE Front St.
|
| Vivian, LA
| 71082, US
| +1.3183752711
|
| genelemontr54@yahoo.com
|
| Technical Contact:
| Elbert Lemons
| Elbert Lemons
| 702 NE Front St.
|
| Vivian, LA
| 71082, US
| +1.3183752711
|
| genelemontr54@yahoo.com
|
| Domain servers in listed order:
| a.dns.hostway.net
| b.dns.hostway.net
|
| (fotodiberlusconi.com)

Ovviamente, è solo una ricerca di base senza approfondimenti di sorta.

PS: Ho volutamente sostituito una lettera per evitare click accidentali.
Chi vuole andare a scaricare il suddetto file, lo fa a proprio rischio e pericolo! Old
Top
Profilo Invia messaggio privato
kevin
Moderatore Caffè dell'Olimpo
Moderatore Caffè dell'Olimpo


Registrato: 08/02/07 10:52
Messaggi: 15785
Residenza: Qui se guardi da lì
MessaggioInviato: 17 Gen 2010 22:16    Oggetto: Re: [VIRUS] fotodiberlusconi.com Rispondi
bdoriano ha scritto:

Chi vuole andare a scaricare il suddetto file, lo fa a proprio rischio e pericolo! Old

.. e sarebbe anche il minimo, visto cosa andrebbe a scaricare!
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi