Il mio blog-spazio.

[Mail] Allegato sospetto da fonte autorevole, che fare?

Ciao a tutti!
Questa mattina accendendo il PC,
mi sono trovato davanti una mail
da parte della filiale italiana di una nota azienda, di cui non farò il nome!
Con cui però ho avuto contatti in passato, per cui mi fido e può essere realmente qualcosa
per me.


La mail è abbastanza breve,
con un italiano un pò così,
"vedi allegato e di confermare"
L'allegato è un documento chiamato "Richiesta.doc"

Puzza puzza puzza
Ma vediamo.




L'header non fa sospettare nulla di strano,
se non che questa è stata inviata ad un elenco di aziende/persone.

il****.cr@virgilio.it, info.*****@f****.com, info@***016.it, info@*******ulato.it, info@********ovelli.com, info@a***ea.it, info@bc******e.it, info@be***s.it, info@ca***.it, info@cel****zzi.it, info@cerami*****pia.com, info@ci***ff.it, info@co*****olor.it, info@de****a.it, info@de*****26.it, info@***ca.it, info@****to.it, info@***srl.net, info@fed**2.com, info@fra***rre.it, info@m***i.it, info@mi***mac.it, info@pl***up.it, info@pro***sa-snc.com, info@sa*****ia.eu, info@stu****tea.it, info@te*****l.it, info@ter*************roma.it, info@ter*******elli.it, iosono@ales*******onti.it


Se pur possibile sia stata cosa voluta l'invio a diversi contatti,
in genere il "massmail" viene utilizzato proprio da script autoriplicanti.

Dò un semplice Proprietà sul file e vedo i dettagli:



Ok appurato che si tratta di un qualcosa di poco sano,
mi chiedo: perchè il mio Kaspersky non lo becca?

Vado su uno dei tanti siti per le analisi online, che integrano un multi-motore di analisi:
spiego cosa vuol dire,
questi portali hanno delle macchine con installati diversi antivirus, ed ogni antivirus analizza il file che abbiamo mandato.
Così da poter contare sulla risposta di tanti motori antivirus e tante definizioni diverse,
di ogni casa produttrice di software antivirus.
Il tutto, in modo gratuito senza richiesta di registrazioni varie.


Mi sono appoggiato a https://www.virustotal.com
il responso: (click per zoom)



Sono pochissimi gli antivirus che lo vedono!
Solo 9 di 59,
l'antivirus di Microsoft lo becca,
360 lo becca,
Sophos e TrendMicro anche.

Mentre tutti gli altri,
che secondo me sono il 98% del mercato non lo vedono proprio:
avg, avast, avira, kaspersky, panda, mcafee :-O

Abbiamo capito che si tratta di un Trojan Downloader,
praticamente una volta aperto il .doc
all'interno vi è una macro (vba) automatica, che inizia a scaricare (in %usertemp%) ed installare le porcate sul nostro PC.

Ho fatto una rapida prova con una macchina virtuale,
crea un file nascosto in
%UserTemp%\ dal nome 276.exe

PS 276 nel mio caso, il nome è random,
in un secondo tentativo ha creato un file dal nome 304.exe;

Questo file inizia ad effettuare download di altri file, cosi da installarvi una backdoor nel pc,
che consentirĂ  l'accesso a terzi nella vostra macchina infetta;
inoltre inizieranno ad uscire pubblicitĂ  a go-go!

Ultimo ma non meno importante,
se avete elenchi di contatti a cui inviate mail sul PC,
sarĂ  sua premura scrivere in automatico una mail ai vostri contatti per cercare di infettarli.

Ho contattato l'elenco di vittime a cui è arrivata la mail,
oltre che alla povera Azienda infetta,
si stanno muovendo per risolvere.


Ma
perchè ho scritto tutto questo?

Per dirvi:
quando siete di fronte ad un allegato,
ed il vostro antivirus non scatta ma avete comunque un dubbio
prima di avviarlo, analizzatelo in uno di questi website :

http://www.virscan.org/

https://www.virustotal.com/it/

https://metadefender.opswat.com/