[email]file allegato ad email .asx

[piero.mac]

da due giorni ormai, ricevo delle email mandate da un mio stesso account con questo testo:

Guardate qu esto video di un raggiro.


Attenzione che il prossimo potreste essere voi,

fatelo girare! Internet e la condivisione di informazioni ci permette di non
farci fregare da gente come questa!

con allegato un file cen_sured_video.asx

ovviamente il file non l'ho aperto, e passato a "virustotal" non mi rileva nulla cosi' non rileva nulla ad-awere.

Pero' mi rendo conto dai returned mail e dai Undelivereble Mail di stare inviando a mezzo mondo questa email....

La prima volta il testo era leggermente diverso, ma di pari valenza come testo e allegato.

Domanda.... che aggio a fa???? la scansione del pc con Antivir PE non da risultati.... l'unica cosa che ho fatto ultimamente e' stato l'aggiornamento di freepops alla versione 0.0.98. uso thunderbird 1.5.0.2 su win xp aggiornato all'ultima patch dell'altro giorno.

[piero.mac]

aperto il file allegato con un editor....

ecco il contenuto:

codice:

<ASX version="3.0">
 <ENTRY>
  <TITLE>Impossibile Trovare il Codec</TITLE>
  <REF HREF="http://www.vcodecreceive.com/movies/video.avi"/>
  <DURATION VALUE="60:00"/>
  <BANNER HREF="http://www.vcodecreceive.com/movies/codec-alert.gif">
   <ABSTRACT>Clicca qui per scaricare i codec aggiornati</ABSTRACT>
   <MOREINFO HREF="http://www.vcodecreceive.com/download/VCodec1_01b.exe" />
  </BANNER>
 </ENTRY>
</ASX>

io lo metto cosi' com'e', se ci cliccate su .... a vostra responsabilita'....

[piero.mac]

trovato qualcosa qui:

http://archives.neohapsis.com/archiv...5-12/1347.html

there's some malware/adware that try to use .ASX files as vector
to infect windows machines by forcing users to download and install
executables.
The trick (not an exploit!!!!) is to convince people that Windows Media
Player
needs an additional codec....so that users confirm the download of an EXE
file.

The EXE file downloaded is probably some Download.Trojan or Trojan.Clicker
packed with Nullsoft NSIS.

e fin qui ci siamo... pero' come dovrei fare per impedire la reiterazione di questi invii di e-mail dal mio account????

[Habanero]

se ne era già parlato...
il trucco è che quando lanci il video (1 minuto di schermo nero) windows media player ti dice che non trova i codec per riprodurlo e ti invita a scaricare dei falsi codec (VCodec1_01b.exe) che è un trojan.

Kaspersky lo rileva come Trojan-Downloader.Win32.Adload.ax

[Habanero]

trovato il vecchio post:
http://forum.html.it/forum/showthrea...hreadid=922065

[piero.mac]

Originariamente inviato da Habanero
trovato il vecchio post:
http://forum.html.it/forum/showthrea...hreadid=922065

Grazie. Sto leggendo. non l'ho eseguito. l'ho aperto con un editor.

Quello che mi preoccupa e' l'invio delle e-mail.... se ne vanno per conto loro, quindi da qualche parte ci deve essere qualche pirlata che lo fa.

provo a rimuovere il server di uscita tanto uso gmail. Ma sapere di avere qualcosa di strano mi turba le tonsille....

[Habanero]

in realtà non è affatto detto che tu sia infetto.... è più probabile che il virus abbia infettato una macchina e su questa macchina fosse presente il tuo indirizzo di posta (in rubrica o in una email). Questo trojan, come nella maggior parte delle infezioni virali, sceglie a caso due voci tra le email trovate sul pc infettato. Una la usa come mittente falsificato e l'altra come destinatario a cui autospedirsi. Sicuramente per alcune mail vieni usato come destinatario e per altre come mittente. Per quelle che risulti come mittente e per cui il destinatario non risulta raggiungibile ti viene notificato un delivery errror...

secondo me è questo lo scenario più plausible... in ogni caso se vuoi toglierti ogni dubbio leggi il thread in rilievo sulla rimozione del malware.

[piero.mac]

Originariamente inviato da Habanero
in realtà non è affatto detto che tu sia infetto.... è più probabile che il virus abbia infettato una macchina e su questa macchina fosse presente il tuo indirizzo di posta (in rubrica o in una email). Questo trojan, come nella maggior parte delle infezioni virali, sceglie a caso due voci tra le email trovate sul pc infettato. Una la usa come mittente falsificato e l'altra come destinatario a cui autospedirsi. Sicuramente per alcune mail vieni usato come destinatario e per altre come mittente. Per quelle che risulti come mittente e per cui il destinatario non risulta raggiungibile ti viene notificato un delivery errror...

secondo me è questo lo scenario più plausible... in ogni caso se vuoi toglierti ogni dubbio leggi il thread in rilievo sulla rimozione del malware.

Questo che mi dici mi rende plausibile quanto succede. Pero' parecchi destinatari di cui mi ritornano le mail, sono presenti nella mia agenda, mentre altri (la maggior parte) non lo sono. Dato che quelli presenti nella mia agenda sono mail aziendali possedute da parecchi colleghi, potrebbe proprio essere come dici. Dal pc infetto vengono spedite e-mail random con il mio indirizzo (presente su quel pc) come mittente. Le mail indirizzate al mio account pero' hanno un . come mittente.

ho 4 account (libero, tin, virgilio, alice) gestiti da thunderbird (freepops per libero) ma e' solo @tin che e' interessato ed e' solo tin che ho dato a quella azienda .... ... azzolo credo di avere capito chi e' il collega.... visto che un return mail ha l'idirizzo della moglie... provo ad avvisarlo, mi sto convincendo sia proprio lui.... (o l'amico della moglie. )

grazie per le info... daro' notizie in merito.

[Habanero]

direi che tutto quadra.

[NetKiLLeR]

piero per la cronaca: mi sono arrivate 5 email tue in 2 giorni da account tin.it