La forma migliore per propagare un virus più velocemente è sicuramente quella dell’invio via email, del virus stesso, come allegato. In questo periodo è stata presa di mira la casella di Hotmail, la famosa Mail di casa Microsoft. Tutti i possessori di un account MSN Messenger possiedono, si conseguenza, anche un indirizzo Hotmail.
La maggior parte dei virus che sono spediti agli account Hotmail, una volta infettato il PC, invia un email, identica a quella ricevuta originariamente dal povero malcapitato, a tutti i contatti presenti nella lista di MSN Hotmail, proprio per questo, tutti devono mantenere gli occhi ben aperti sulle email che ricevono e sugli allegati in particolar modo. Oggi noi di Geekissimo, vi presentiamo l’ultimo virus ricevuto nella mia casella email.
Iniziamo subito con il testo dell’email che è questo:
Vi esse video e achei a sua caravc vai morrer de ri, rrss.. se gostar passe para seus contatost+
Come ben vedete, è in Spagnolo ma non ha senso. Si capisce solo che c’è un video di Youtube da vedere, infatti, l’allegato si chiama: “br.youtube.video009273875251.zip”. Il file è quindi un Archivio, e molto difficilmente gli antivirus di Hotmail riescono a guardare dentro un archivio, non è, però un problema del solo antivirus di Hotmail, dopo il salto capirete perché.
Su questo virus non si hanno molte notizie, sappiamo solo che non è riconosciuto da molti antivirus e che quei pochi che lo riconoscono, solo 17 antivirus, lo riconoscono in maniera diversa. Per essere sicuri che fosse un vero virus, ho sfruttato il servizio di scansione gratuito messo a disposizione da VirusTotal. Su 35 anvitirus, solo 17 lo riconoscono. Ecco in dettaglio la lista degli antivirus che l’hanno riconosciuto, e le relative definizioni.
| File br.youtube.video009273875251.scr ricevuto il 2008.09.23 19:39:17 (CET) | |||
| Antivirus | Versione | Ultimo aggiornamento | Risultato |
| AntiVir | 7.8.1.34 | 2008.09.23 | TR/Dldr.Delphi.Gen |
| Avast | 4.8.1195.0 | 2008.09.23 | Win32:Trojan-gen {Other} |
| BitDefender | 7.2 | 2008.09.23 | Trojan.Agent.Delf.GY |
| eSafe | 7.0.17.0 | 2008.09.23 | Suspicious File |
| Fortinet | 3.113.0.0 | 2008.09.23 | W32/Banker.B!tr.pws |
| GData | 19 | 2008.09.23 | Trojan.Agent.Delf.GY |
| Ikarus | T3.1.1.34.0 | 2008.09.23 | Trojan.Agent.Delf.GY |
| Kaspersky | 7.0.0.125 | 2008.09.23 | Trojan-Downloader.Win32.Delf.olh |
| McAfee | 5389 | 2008.09.22 | PWS-Banker.gen.b |
| Microsoft | 1.3903 | 2008.09.23 | TrojanDownloader:Win32/Small.gen!I |
| Panda | 9.0.0.4 | 2008.09.23 | Generic Malware |
| Prevx1 | V2 | 2008.09.23 | Banking Info Stealer |
| Sophos | 4.33.0 | 2008.09.23 | Sus/DelpDldr-A |
| TrendMicro | 8.700.0.1004 | 2008.09.23 | PAK_Generic.001 |
| VBA32 | 3.12.8.5 | 2008.09.23 | Trojan-Downloader.Win32.Revelation.Tibs.B |
| ViRobot | 2008.9.23.1389 | 2008.09.23 | Spyware.Delf.Do.125440.C |
| Webwasher-Gateway | 6.6.2 | 2008.09.23 | Trojan.Dldr.Delphi.Gen |
Insomma, il virus c’è, anche se non è riconosciuto qualche dubbio sulla genuinità del file l’abbiamo. L’email misteriosa, il file con un nome così particolare, il testo dell’email incomprensibile. Insomma, ci sono tutti i segni di un Virus. Noi avi abbiamo avvisato!
Non è vero niente…si può avere un account msn messenger con qualsiasi indirizzo mail senza doversi registrare ad Hotmail….io infatti entro con una mail di yahoo sulla rete msn.
Ma possibile che non sappiate ste cose???!!??
State perdendo credibilità…cercate di cambiare…anche per il modo in cui scrivete…troppi errori nel testo….
@nonimo dice:
quoto!
Signori buongiorno
devo dire che questa frase “”Vi esse video e achei a sua caravc vai morrer de ri, rrss.. se gostar passe para seus contatost+”” non è in spagnolo ma si in portoghese brasiliano!!!
la traduzione serebbe:
“” Ho visto questo video e credo che sia fatto per te, riderai moltissimo hahaha, se ti piace inoltri ai tuoi contacts””
Ecco questo serebbe il messagio ovviamente se tradotto parola a parola non avrebbe un senzo!
a presto
Testato anche con NOD32?
Infatti, è portoghese. Mi è arrivata questa email dalla mia ex-cognata che è brasiliana e che è solita mandarmi cagatine del genere e per poco non ci casco come un pollo.
“Noi avi abbiamo avvisato!” uhm avi abbiamo avvisato!!!!
@nonimo dice:
Se vogliamo dirla tutta l’account creato da email di terzi è un .NET Passport e non un account “MSN”. Che poi c’è la possibilità di accedere alla rete MSN e Windows Live è perchè al profilo .NET viene vincolato un Windows Live ID.
Chi ha un account MSN ha una email di hotmail (o windows live), chi ha NET Passport ha una sua email che viene usata come Windows Live ID.
@ Leonardo:
Grazie per la traduzione!
@nonimo:
Grazie anche a te per la correzione!
Salve, volevo precisare che il virus “youtube” su msn non è nuovo, ma circola da Giugno
Sul nostro sito abbiamo segnalato la cosa al tempo, insieme alla soluzione per rimuovere completamente l’infezione in questa pagina: http://www.fedemarkez.com/msn_news/rimuovere_virus_myspace_youtube.php
Spero di esservi stato utile ^__^
a Michele Lagana’ (Mister6339)
figurati adoro questo blog e se posso sono sempre disponibile!!!
se avete bisogno di qualsiasi cosa in portoghese e spagnolo basta chiedere, sono lingua madre!!!
a presto
leonardo
@nonimo dice:
Vero è che è possibile utilizzare un account limitato @passport.com, ma quale parte di “account MSN Messenger” ti sfugge? Non si sta parlando di uso di MSN Messenger.
@ fedemarkez:
Come sempre, sono sempre l’ultima a ricevere l’email.
Basta solo un po' di cervello e non cascarci come polli. Ormai per prendere un virus devi proprio volerlo a tutti i costi.
@ FrancescO:
Ciao a tutti…visto che la scritta è in portoghese l’ho accettato pensando fosse un conoscente a mandarla!!
cosa faccio oraaaa??
La scritta è in portoghese, non in spagnolo. Infatti il link del virus inizia con http:// BR (cioè Brasile).
Bella lì!