Mi chiedevo ma come a me una mail col famoso bugbear non mi arriva?
Manco a dirlo apro la posta e mi arrivano due mail una con il bugbear.B con allegato di 70k e un'altra mail che usa una nuova variante del tag iframe riguardo alla vulnerabilità Mime Incorrect che il norton(aggiornato ieri con le definizioni del 09/06/2003)
mi riconosce come infetta da Bugbear.B.Dam con allegato il file unknown0422.data col peso di 30K(ricordate) e con Subject: Tools For Your Online Business.
Entrambe le email mi sono arrivate dallo stesso cliente al quale pochi giorni fa avevo inviato io un file.
La norton dice che tali file rilevati come infetti da Bugbear.B.Dam sono campioni danneggiati di Bugbear.B. Analizzando la seconda mail ho notato che il subject usato:"Tools For Your Online Business" rientra tra quelli pubblicati su symantec,mentre invece per ciò che riguarda l'allegato non ho trovato corrispondenze su Symantec dove non si parla assolutamente di allegati infetti con singola estensione.data. Symantec dice solo che il NOME del file infetto potrebbe essere la parola Data.
Tutto ciò mi puzza di bruciato in quanto bugbear dopo aver infettato un file vi aggiunge l'estensione pif, scr o exe. Potenza del polimorfismo di Bugbear che ha sviluppato una nuova routine per infettare file senza aggiungere la doppia estensione??? Chissa, di una cosa sono certo visto che è polimorfico non ci stupiamo se avremo Bugbear.C e via dicendo.
Quindi occhio ad allegati con questa singola estensione.data, tipo unknown0422.data del peso di 30K e disabilitate l'anteprima dei messaggi se avete vecchie versioni di Outlook.
Oggi dalla webmail di libero ho notato che l'allegato non appariva vicino a questa mail(mentre appariva nell'altra mail sempre infetta come maratona.doc.scr).Veniva mostrato solo il peso della mail cioè 30K,ma quando ho aperto outlook a casa norton ha bloccato il famoso file.data che da webmail era impossibile vedere. Forse perche è un estensione fittizia e non è riconosciuta? Non saprei proprio
Vi posto la mail col Bugbear.B.Dam(ovviamente le x le ho messe io)
Return-Path: <xxxxxxxxxxxxx@tin.it>
Received: from smtp7.libero.it (193.xx.xx.xx) by ims6a.libero.it (7.0.012)
id 3EDE9C14001AE5EA for xxxxxxxxxxxlibero.it; Tue, 10 Jun 2003 08:39:05 +0200
Received: from mail.jumpy.it (213.xxx.xxx.x) by smtp7.libero.it (7.0.012)
id 3EBBDF860302C852; Tue, 10 Jun 2003 08:39:05 +0200
Received: from computer (xxx.xxx.xxx.xxx) by mail.xxxx.it (6.5.028)
id 3E2836D3005E5D79; Tue, 10 Jun 2003 08:38:57 +0200
Date: Tue, 10 Jun 2003 08:38:57 +0200 (added by xxxxxxx@ju.it)
Message-ID: <3E2836D3005E5D79@mail05.xxxxxxxx.it> (added by xxxxxxxx@xxxxx.it)
From: "xxxxxxxxxxxxxx" <xxxxxxxxxxxxxxxtin.it>
Subject: Tools For Your Online Business
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----------NW8BC1XXJPH8PO0"
------------NW8BC1XXJPH8PO0
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY>
Exploit<iframe >
<FONT></FONT>
</BODY></HTML>
------------NW8BC1XXJPH8PO0
Content-Type: plain/text;
name="unknown0422.data"
Content-Transfer-Encoding: base64
Content-ID: <zqTYLikXk3iaf>
Zoccola informatica in pensione 
Rispondi quotando
