faretesto > comp.sicurezza.* > comp.sicurezza.virus

Bowlingbpsl (23.07.2019, 18:38)
Volevo farvi partecipi di un virus inviato via PEC. Mandato di domenica
(piu' o meno il momento in cui l'AdE ti manda le sue PEC).

Vedo questo strano indirizzo del mittente tal sogega it
(che pero' non e' che il PVC c'entri granche', col fisco...)

L'allegato e' STRANO. Bisogna andare a trovarselo in mezzo all'email.
Questo file chiamato comunicazione-44740870439.zip contiene un

comunicazione clientela.pdf (con flag "hidden")
comunicazione clientela.lnk

Il PDF l'ho fatto assaggiare a virustotal. Nessun problema, dicono.
Ma non si apre... e non sono del tutto scemo da cliccare sul resto.

Cosi' ho cercato...



E' QUASI uguale al "mio". Io ho un .lnk anziche' .vbs. Ma sospetto sia
lo stesso, piu' o meno mascherato (se qualcuno confermasse...)

In pratica, il pdf e' volutamente illeggibile. Cosi', l'impiegato di
turno va a cliccare sull'altro file. Che provvede a scaricare il
virus.

BTW: poche segnalazioni da virustotal
Header:

Return-Path: <sogega it>
Original-Recipient: rfc822;
(omissis)
Received: from smtps.pec.aruba.it (95.110.223.24) by mx.cert.legalmail.it
(9.0.034.01)
id 5C893F83039CA11D for (omissis); Sun, 21 Jul 2019 21:53:20 +0200
Received: from [127.0.0.1]
(host196-85-static.11-79-b.business.telecomitalia.it [79.11.85.196])
(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)) (No client
certificate requested) by smtps.pec.aruba.it (Postfix) with ESMTPSA id
45sFlz5qvfz2NNNqG for <>; Sun,
21 Jul 2019 21:53:19 +0200 (CEST)
Subject: POSTA CERTIFICATA: Avviso di addebito n. 44740870439 - Gestione
Gestione Aziende con lavoratori dipendenti
X-Riferimento-Message-ID: <9E78DB93.0002406 it>
Date: Sun, 21 Jul 2019 21:53:20 +0200
Message-ID: <opec292.20190721215320.00419.314.1.69>
Reply-To: sogega it

....l'ip 79.11.85.196 sta in Campania? A chi posso segnalarlo?

Colto da ispirazione, dato .zip a virustotal (e non solo il PDF)
Queste sono le "sole" segnalazioni. Comodo se la sta prendendo... comoda.

DrWeb Trojan.Siggen8.37361
GData Archive.Trojan-Downloader.Paliz.A
Kaspersky Trojan.Multi.GenAutorunLnkFile.a
Microsoft PUA:Win32/Presenoker
Qihoo-360 Susp.lnk.script
Sophos AV Mal/LnkDrop-A
ZoneAlarm by Check Point Trojan.Multi.GenAutorunLnkFile.a

Qui sotto il testo. Bella roba. Ho notato l'uso "antico" delle accentate
(con l'apostrofo. Roba dei tempi del C64, Vic 20 et similia. Il candidato
alla futura vivisezione ha una certa eta', per caso?).

************************************************** **********************

Spett.

Con la presente si notifica di aver proceduto al controllo della po=
sizione contributiva sopra riportata relativamente a: Emissione da
03/= 2019.

L'avviso di addebito n. 44740870439 che costituisce titolo e=
secutivo ai sensi dell'art. 30, comma 1, del DL n. 78/2010 convertito
= con modificazioni in Legge n. 122/2010, è allegato alla present= e e
riguarda i contributi accertati e dovuti a titolo di Gestione Azie=
nde con lavoratori dipendenti per l'importo totale, comprensivo delle
= spese di notifica e degli oneri di riscossione, di: 3.928,00. euro
=

{Il dettaglio e le motivazioni sono riportate nella sezione
"DETTAGLIO DEGLI ADDEBITI E DEGLI IMPORTI DOVUTI" dell'avviso di
addebito sopra identificato.}

Questo e' un messaggio di posta elettronica generato automaticament= e
dal sistema. La preghiamo di non rispondere/inviare email all'indiri=
zzo mittente, perche' e' una casella applicativa, pertanto qualsiasi
m= essaggio non sara' letto.

Clausola di riservatezza

Le informazioni contenute in questo messaggio di posta elettronica =
sono riservate e confidenziali e ne è vietata la diffusione In =
qualunque modo eseguita. Qualora Lei non fosse la persona a cui il
pre= sente messaggio è destinato, La invitiamo gentilmente ad elimin=
arlo dopo averne dato tempestiva comunicazione al mittente e a non
uti= lizzare In alcun caso il suo contenuto. Qualsiasi utilizzo non
autoriz= zato di questo messaggio e dei suoi eventuali allegati espone
il respo= nsabile alle relative conseguenze civili e penali.

Notice to recipient

This e-mail is strictly confidential And meant For only the intende= d
recipient of the transmission. If you received this e-mail by mistak=
e, Any review, Use, dissemination, distribution, Or copying of this
e-= mail Is strictly prohibited. Please notify us immediately of the
Error= by Return e-mail And please Delete this message From your
system. Tha= nk you In advance For your cooperation.
Gabriele - onenet (23.07.2019, 23:02)
Bowlingbpsl wrote on 23/07/2019 18:38:
> Volevo farvi partecipi di un virus inviato via PEC. Mandato di domenica
> (piu' o meno il momento in cui l'AdE ti manda le sue PEC).
> Vedo questo strano indirizzo del mittente tal sogega it
> (che pero' non e' che il PVC c'entri granche', col fisco...)


Noooo, ma che dici, la PEC è sicurissima! :-P

[..]
> In pratica, il pdf e' volutamente illeggibile. Cosi', l'impiegato di
> turno va a cliccare sull'altro file. Che provvede a scaricare il
> virus.


Sì avevo letto di queste PEC mirate al mercato italiano. il metodo in effetti è
intelligente.

[..]
> Message-ID: <opec292.20190721215320.00419.314.1.69>
> Reply-To: sogega it
> ...l'ip 79.11.85.196 sta in Campania? A chi posso segnalarlo?


abuse secondo l'whois, però il PTR mostra
"host196-85-static.11-79-b.business.telecomitalia.it." e quindi buh?
Dovrebbe essere in Lombardia.

Scrivi anche a: "abuse" e "mgt.sistemi" e chiedi
perché lasciano passare sta roba invece d bloccare (o mettere in qualche
quarantena) allegati del genere. Vediamo se e cosa rispondono!

Magari avverti anche il fornitore di PEC dell'untore (program[at]programonline.it)

[..]
> Qui sotto il testo. Bella roba. Ho notato l'uso "antico" delle accentate
> (con l'apostrofo. Roba dei tempi del C64, Vic 20 et similia. Il candidato
> alla futura vivisezione ha una certa eta', per caso?).


[...]

Hai il link di Virus Total? così per vedere gli aggiornamenti del caso.

ciao
Gabriele
ObiWan (24.07.2019, 16:10)
:: On Tue, 23 Jul 2019 23:02:32 +0200
:: (it.comp.sicurezza.virus)
:: <IBKZE.333326$rO6.170774>
:: Gabriele - onenet <infoTS> wrote:

> Noooo, ma che dici, la PEC è sicurissima! :-P


Si, come no, ROTFL !

> Sì avevo letto di queste PEC mirate al mercato italiano. il metodo in
> effetti è intelligente.


Non è che siano "mirate"; il discorso è veramente BANALE, un computer,
che può anche essere in una rete aZZZZiendale, si becca un malware; lo
stesso, come quasi tutti i malware recenti, dopo essersi insediato per
bene sul sistema, e prima di qualsiasi altra cosa, si spazzola a fondo
il disco, estraendo tutte le info interessanti, incluse le credenziali
della PEC, e le manda al suo "Badrone", a quel punto il gioco è fatto.
Yorgos (24.07.2019, 16:51)
Il Tue, 23 Jul 2019 18:38:07 +0200, Bowlingbpsl ha scritto:

> Volevo farvi partecipi di un virus inviato via PEC. Mandato di domenica
> (piu' o meno il momento in cui l'AdE ti manda le sue PEC).


Anche l'INPS lancia l'allarme:

Bowlingbpsl (25.07.2019, 09:32)
ObiWan wrote:
> Si, come no, ROTFL !
> Non è che siano "mirate"; il discorso è veramente BANALE, un computer,
> che può anche essere in una rete aZZZZiendale, si becca un malware; lo
> stesso, come quasi tutti i malware recenti, dopo essersi insediato per
> bene sul sistema, e prima di qualsiasi altra cosa, si spazzola a fondo
> il disco, estraendo tutte le info interessanti, incluse le credenziali
> della PEC, e le manda al suo "Badrone", a quel punto il gioco è fatto.


Cazzo. Il mio commercialista non e' sicuro di non aver cliccato sul file
infettante (che da me era .LNK, ma da quello che mi dicevano su
virustotal, era trans... cioe' mascherato).

Che gli dico, che gli hanno gia' rubato le credenziali?

Fabrizio
Bowlingbpsl (25.07.2019, 12:02)
Bowlingbpsl wrote:

> BTW: poche segnalazioni da virustotal
> Header:


Non avevo notato che il link e' upladabile.

Eccolo qui



Trovo a dir poco PREOCCUPANTE che non ci siano evoluzioni. Sono 4 gatti ad
essersi accorti del pericolo... :-(

Fabrizio
Leonardo Serni (25.07.2019, 15:10)
On Tue, 23 Jul 2019 18:38:07 +0200, "Bowlingbpsl" <bowling> wrote:

>E' QUASI uguale al "mio". Io ho un .lnk anziche' .vbs. Ma sospetto sia
>lo stesso, piu' o meno mascherato (se qualcuno confermasse...)


Appena dovesse arrivarmi lo stesso zip (al limite anche contenuto dentro un
ulteriore zip con password "pirulazio"), non mancherò di controllare.

Naturalmente, le probabilità sono molto basse <grin>.

Leonardo
ObiWan (25.07.2019, 15:37)
:: On Thu, 25 Jul 2019 09:32:54 +0200
:: (it.comp.sicurezza.virus)
:: <qhbrkt$52h$4>
:: "Bowlingbpsl" <bowling> wrote:

> Cazzo. Il mio commercialista non e' sicuro di non aver cliccato sul
> file infettante (che da me era .LNK, ma da quello che mi dicevano su
> virustotal, era trans... cioe' mascherato).
> Che gli dico, che gli hanno gia' rubato le credenziali?


Direi che, a parte fare un bel controllo approfondito del sistema (e di
eventuali altri sistemi connessi in rete), farebbe bene a cambiare la
password della PEC (e non solo quella)
ObiWan (25.07.2019, 15:45)
:: On Thu, 25 Jul 2019 12:02:05 +0200
:: (it.comp.sicurezza.virus)
:: <qhbuqi$976$3>
:: "Bowlingbpsl" <bowling> wrote:

> Trovo a dir poco PREOCCUPANTE che non ci siano evoluzioni. Sono 4
> gatti ad essersi accorti del pericolo... :-(


proprio quattro, no



:)
ObiWan (25.07.2019, 15:59)
:: On Thu, 25 Jul 2019 15:45:14 +0200
:: (it.comp.sicurezza.virus)
:: <20190725154514.00001d25>
:: ObiWan <obiwan> wrote:

> :: On Thu, 25 Jul 2019 12:02:05 +0200
> :: (it.comp.sicurezza.virus)
> :: <qhbuqi6>
> :: "Bowlingbpsl" <bowling> wrote:
> proprio quattro, no
>


per chiarezza, in alto a destra c'è un bottone con la classica "freccia
avvolta" che, se cliccato, forza la ripetizione dell'analisi del file;
ad oggi gli AV che riconoscono il malware sono 14 su 55, ma se proverai
a ripetere l'analisi nei prossimi giorni (o anche tra qualche ora), gli
AV potrebbero essere di più; questo permette anche di farsi un'idea
della velocità con qui i vari AV aggiornano le firme in presenza di un
nuovo tipo di malware
Bowlingbpsl (26.07.2019, 17:55)
ObiWan wrote:
>>> On Thu, 25 Jul 2019 15:45:14 +0200
>>> (it.comp.sicurezza.virus)


>> proprio quattro, no


Si, vabbe', non sapevo della funzione refresh, ma mi paiono
pericolosamente pochini...

>>

> per chiarezza, in alto a destra c'è un bottone con la classica
> "freccia
> avvolta" che, se cliccato, forza la ripetizione dell'analisi del file;
> ad oggi gli AV che riconoscono il malware sono 14 su 55, ma se


Adesso adesso, vedo che mancano all'appello di quelli che conosco: Avira,
Comodo, Avast, Bitdefender, ClamAV, Fprot... mi pare un'ecatombe.

> a ripetere l'analisi nei prossimi giorni (o anche tra qualche ora),


Non vorrei sembrare troppo esigente, ma a Comodo gliel'ho uploadato sul
loro sito IERI... e dormono ancora?

> AV potrebbero essere di più; questo permette anche di farsi un'idea
> della velocità con qui i vari AV aggiornano le firme in presenza di un
> nuovo tipo di malware


Qui si e' sempre detto qualcosa tipo "uno vale l'altro", ma non mi pare
mica vero...
Sto pensando che Kaspersky merita un ritorno... anche se, d a buon barbun,
sono limitato dal fatto che non c'e' la versione free.

Fabrizio
ArchiPit (27.07.2019, 07:50)
Rispondo qui sotto a Bowlingbpsl

> Sto pensando che Kaspersky merita un ritorno... anche se, d a buon barbun,
> sono limitato dal fatto che non c'e' la versione free.


Guatda bene...
ArchiPit (27.07.2019, 08:09)
Rispondo qui sotto a ArchiPit

> Rispondo qui sotto a Bowlingbpsl
>> Sto pensando che Kaspersky merita un ritorno... anche se, d a buon barbun,
>> sono limitato dal fatto che non c'e' la versione free.

> Guatda bene...
>


Alla versione free dovrebbe mancare l'analisi euristica cioè ha solo
l'analisi per firme virali e non credo blocchi i siti malevoli.
Per il resto è uguale alla versione a pagamento.
ObiWan (29.07.2019, 11:47)
:: On Fri, 26 Jul 2019 17:55:13 +0200
:: (it.comp.sicurezza.virus)
:: <qhf92k$rdp$9>
:: "Bowlingbpsl" <bowling> wrote:

> Adesso adesso, vedo che mancano all'appello di quelli che conosco:
> Avira, Comodo, Avast, Bitdefender, ClamAV, Fprot... mi pare
> un'ecatombe.


Come dicevo, dipende dalla velocità con la quale i vari produttori
pubblicano le "firme", qualcuno è più veloce di altri; per quanto
riguarda clamAV, mi dispiace solo di non avere un'esemplare di quel
malware, altrimenti mi piacerebbe fare una prova, ho idea che con le
firme che uso (che non solo SOLO quelle ufficiali) clamAV potrebbe
beccare il "coso" :)

> Non vorrei sembrare troppo esigente, ma a Comodo gliel'ho uploadato
> sul loro sito IERI... e dormono ancora?


te l'ho scritto sopra, dipende dai produttori; comunque considera che,
almeno fino a qualche tempo fa, quando venivano caricati "campioni" su
VirusTotal, gli stessi venivano anche inviati ai vari AV "labs"

> Qui si e' sempre detto qualcosa tipo "uno vale l'altro"


mai detta una cosa del genere; ma vedi, quello che serve sul serio, a
parte la fondamentale attivazione di quel coso piazzato in mezzo alle
orecchie :) è un sistema di difesa stratificato, l'antivirus sul PC, in
tale tipo di sistema, è solo l'ultimo stadio, prima di arrivare a tale
stadio, qualsiasi cosa passa attraverso una serie di altri controlli
Bowlingbpsl (29.07.2019, 18:08)
ObiWan wrote:
>>> On Fri, 26 Jul 2019 17:55:13 +0200
>>> (it.comp.sicurezza.virus)
>>> <qhf92k$rdp$9>
>>> "Bowlingbpsl" <bowling> wrote:


>> Adesso adesso, vedo che mancano all'appello di quelli che conosco:
>> Avira, Comodo, Avast, Bitdefender, ClamAV, Fprot... mi pare
>> un'ecatombe.

> Come dicevo, dipende dalla velocità con la quale i vari produttori
> pubblicano le "firme", qualcuno è più veloce di altri; per quanto


Non per fare il pignolo, ma... :-(

> riguarda clamAV, mi dispiace solo di non avere un'esemplare di quel
> malware, altrimenti mi piacerebbe fare una prova, ho idea che con le


Mi basta sapere se la tua email e' in chiaro e te lo mando. Con password.

>> Non vorrei sembrare troppo esigente, ma a Comodo gliel'ho uploadato
>> sul loro sito IERI... e dormono ancora?

> te l'ho scritto sopra, dipende dai produttori; comunque considera che,


Qui "nomen omen" mi pare persino troppo poco sarcastico...

> almeno fino a qualche tempo fa, quando venivano caricati "campioni" su
> VirusTotal, gli stessi venivano anche inviati ai vari AV "labs"


Cosa sono, tutti in ferie? Dormono?

> mai detta una cosa del genere; ma vedi, quello che serve sul serio, a
> parte la fondamentale attivazione di quel coso piazzato in mezzo alle
> orecchie :) è un sistema di difesa stratificato, l'antivirus sul PC,
> in tale tipo di sistema, è solo l'ultimo stadio, prima di arrivare a


Sarei lievemente allarmato, perche' le prime linee sono state penetrate
come non ci fossero... e mi sono salvato grazie al mio cervello, non certo
per l'antivirus.
Quello che non so, e' se con W7, cliccando sul .lnk (forse un .VBS
mascherato?), mi sarebbe stato chiesta l'autorizzazione ad eseguirlo come
amministratore, che UN MINIMO dovrebbe allarmare. Un minimo, eh.

Non mi piace, ecco.

Fabrizio

Discussioni simili