Indagine iniziale: 1 marzo 2004. Ultimo aggiornamento: 27 novembre 2004.
Indagini antibufala consultate dal 7/11/2003:
|
|
Questa non è una vera e propria
indagine antibufala: è una raccolta di messaggi-esca generati da vari
virus, che molti lettori scambiano per possibili bufale, per cui si
meritano comunque un posto negli archivi del Servizio Antibufala. In un
certo senso sono in effetti bufale, perché ciò che dicono non è vero,
ma il loro scopo non è propagare una bugia: vogliono infettare il vostro computer.
Si tratta infatti di messaggi che hanno in genere un mittente autorevole e contengono un avviso o un'offerta di aiuto che ruota intorno a un documento o a un programma allegato all'e-mail. L'allegato è un virus e NON VA APERTO.
Ricordate che il mittente di un e-mail è facilmente falsificabile e non costituisce affatto una garanzia.
Alcuni di questi messaggi-esca si spacciano per il servizio clienti del nostro fornitore d'accesso, dicendo che per varie ragioni (spam, manutenzione, virus o accesso non autorizzato) la nostra casella di posta verrà disabilitata: per riabilitarla dobbiamo soltanto seguire le istruzioni contenute nell'allegato.
Ovviamente la parola-chiave che deve subito far scattare l'allarme è "allegato".
Non bisogna MAI aprire un allegato, chiunque ne sia il mittente
(apparente), senza un adeguato controllo antivirus; è meglio comunque
non aprire MAI gli allegati inattesi senza verificare che il mittente
volesse davvero mandarceli. L'allegato di questi messaggi è infatti un virus (o più propriamente un worm). La faccenda è descritta in maggiore dettaglio nel mio libro L'Acchiappavirus.
Ecco alcuni esempi di messaggio-esca di questo genere. Notate che il
virus è abbastanza furbo da cambiare il testo del messaggio in modo da
mettere al posto di "nome provider" il nome del vostro provider,
estratto dal vostro indirizzo di posta, in modo da sembrare più plausibile: se per esempio il vostro
indirizzo è pippo@libero.it, l'e-mail sembrerà provenire da admin@libero.it e vi descriverà come utenti di Libero.it.
In alcuni casi, l'allegato è un file in formato ZIP protetto da
password. Lo scopo di questo formato è consentirgli di passare sotto il
naso dei programmi antivirus, che non sono in grado di leggere il
contenuto di un file ZIP protetto in questo modo.
|
Hello user of [nome provider] e-mail server, http://www.[nome provider].com |
Il messaggio dichiara (falsamente) che il server di posta del vostro
provider non sarà disponibile per i prossimi due giorni e che per
continuare a ricevere la posta dovete configurare un "servizio di forwarding automatico gratuito". Tutti i dettagli, dice il messaggio, sono nel file allegato, che è "protetto con password per motivi di sicurezza"; la password è fornita nel messaggio. In realtà l'allegato è un virus.
|
Hello user of [nome provider] e-mail server. http://www.[nome provider].com |
Il messaggio avvisa che la vostra casella di posta è stata temporaneamente disabilitata "a causa di un accesso non autorizzato": le spiegazioni sono (dice il messaggio) nel file allegato, che è un virus.
|
Dear user, the management of [nome provider] mailing system wants to let you know that your e-mail account has been temporary disabled because of unauthorized access. Please, read the attach for further details. For security reasons attached file is password protected. The password is [numero]. Cheers, The [nome provider] team http://www.[nome provider].com |
Anche qui il messaggio avvisa che la vostra casella di posta è stata temporaneamente disabilitata "a causa di un accesso non autorizzato": le spiegazioni sono (dice il messaggio) nel file allegato, che è un file ZIP protetto da password che contiene un virus.
|
Dear user of [nome provider] mailing system, Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions. For further details see the attach. For security purposes the attached file is password protected. Password is "[numero]". |
In questo caso venite accusati di aver inviato spam, probabilmente
perché siete stati infettati da un virus; secondo il messaggio, per
eliminare il virus occorre seguire le istruzioni contenute
nell'allegato. In realtà il virus è nell'allegato.
|
Dear user of [nome provider] mailing system, |
Qui, invece, l'accusa che vi viene rivolta è che dalla vostra casella "escono molti virus" e vi viene offerto un "antivirus gratuito" per ripulirvi. L'antivirus, dice il messaggio, è nell'allegato, che è in formato ZIP protetto con password "per ragioni di sicurezza" . A parte il fatto che è ovviamente stupido proteggere un allegato con una password e poi indicare la password nel messaggio di accompagnamento, anche qui in realtà il virus è nell'allegato.
Inizialmente avvistato ai primi di marzo 2004, questo messaggio-esca sembra provenire da un indirizzo Microsoft (di solito help@microsoft.com, alert@microsoft.com o simili) e
avvisa che è in circolazione una variante di un celebre virus/worm,
Mydoom. L'esca invita ad aprire l'allegato, che è presentato come
"aggiornamento" (patch) per proteggervi dal virus. In realtà, come al
solito, l'allegato non è un aggiornamento: è un virus, e ovviamente il mittente non è Microsoft.
Ricordate che Microsoft non distribuisce MAI aggiornamenti via e-mail. Gli aggiornamenti si scaricano solo ed esclusivamente dal suo sito.
|
New MyDoom Virus Variant Detected! |
|
Ladies and Gentlemen, Downloading of Movies, MP3s and Software is illegal and punishable by law. We hereby inform you that your computer was scanned under the IP 193.242.131.35 . The contents of your computer were confiscated as an evidence, and you will be indicated. You get the charge in writing, in the next days. In the Reference code: #14539, are all files, that we found on your computer. The sender address of this mail was masked, to fend off mail bombs. - You get more detailed information by the Federal Bureau of Investigation -FBI- |
Questo messaggio-esca è analizzato in dettaglio in un'altra indagine antibufala.
|
Thanks for your registration. ( We say Sorry again, the first mail was delivered to an unknown mail address. This was a bug in our mailing system! )
you can now visit more than 1200 very very hot web pages! Your registration, pages and passwords are in the attachment. enjoy |
Questo messaggio asserisce che vi sareste "iscritti" a qualche
servizio pornografico via Internet e che per questo vi verranno
addebitati 230 dollari sulla vostra carta di credito. Ovviamente non è vero. Il testo del messaggio è concepito per allarmarvi e quindi distrarvi abbastanza da farvi venir voglia di aprire l'allegato, che si presenta come un elenco di 1200 pagine porno, con il relativo codice d'accesso, ma è in realtà un virus.
|
"hi, I am from Austria and you'll don't believe me, but a trojan horse in on your computer. I've scanned the network-ports on the internet. (I know, that's illegal) And I have found your pc. Your pc is open on the internet for everybody! Because the smss.exe trojan is running on your system. Check this, open the task manager and try to stop that! You'll see, you can't stop this trojan. When you use win98/me you can't see the trojan!! On my system was this trojan, too! And I've found a tool to kill that bad thing. I hope that I've helped you! Sorry for my bad english! greets". |
Questo avviso dichiara di provenire da un austriaco (ma la
nazionalità cambia a seconda delle varianti) che avrebbe trovato nel
vostro computer un "trojan horse" facendo "una scansione delle porte di
rete su Internet". "Trojan horse"
è il nome usato in gergo per indicare programmi che sembrano fare una
cosa ma in realtà ne fanno un'altra, di solito ostile, appunto come
"cavalli di Troia".
Il "cavallo di Troia", in questo caso, si chiamerebbe "smss.exe"; il
messaggio invita a verificare che è in esecuzione sul vostro sistema
aprendo il Task Manager e offre un programma per eliminarlo.
In effetti, se si seguono le istruzioni dell'anonimo amicone e si ha Windows XP, un programma di nome "smss.exe" si trova davvero: ma è perfettamente normale, dato che è un processo di sistema di Windows (è il session manager). Il vero "cavallo di Troia", in questo caso, è il programma di eliminazione offerto dal misterioso mittente nell'allegato: è un virus, che viene mascherato con il nome "remove-smss-patch-exe".
Se avete qualche dettaglio o correzione da contribuire a queste indagini antibufala, scrivetemi presso topone@pobox.com. Grazie!