Allerta virus da sedicenti postmaster

Questa non è uno dei tanti allarmi antivirus fasulli che circolano in Rete. Lo so che mi occupo di bufale, ma proprio per questo ho ottimi motivi per aver indagato e per ritenere che questo sia un problema reale e non un allarme ingiustificato.



[ZEUS News - www.zeusnews.it - 24-02-2002]

Se ricevete dal vostro provider (in genere da postmaster o da mailer-daemon) un e-mail che dice in inglese che un vostro messaggio a un utente è stato respinto, ma sapete di non aver mai mandato messaggi all'utente citato, DIFFIDATE. Se i messaggi indicano che c'è un allegato al messaggio, NON aprite l'allegato prima di un controllo antivirus. Meglio ancora, non apritelo del tutto.

Sospetto infatti sia un virus piuttosto astuto, che si spaccia per l'amministratore della posta del vostro provider nel tentativo di convincervi ad aprire un allegato pericoloso. L'indizio del fatto che è un falso è appunto che l'indirizzo citato come destinatario del messaggio non è fra quelli a cui avete mai scritto. Confusi? Spiego subito qui sotto.

Attenzione: non ho ancora trovato conferme, per cui prendete questo avviso con cautela, ma nel frattempo aumentate la normale dose di scetticismo. Valgono le regole di sempre: mai aprire un allegato, chiunque ne sia il mittente, senza controllo con un antivirus aggiornato. E non usate programmi insicuri che eseguono l'HTML annidato nella posta, come Outlook.

Esempio pratico

Ho ricevuto una dozzina di messaggi di questo genere:

-------------------------------------------------
Date: Fri, 22 Feb 2002 04:03:20 -0500 (EST)
From: MAILER-DAEMON@pobox.com (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: topone@pobox.com

This is the Postfix program at host granite.pobox.com.

The message below did not reach its final destination.

What happened exactly? Our mailserver granite.pobox.com accepted your message and tried to forward it to YUMANA @SINF.NET.

[bla bla]

------------------------------------------------------

Traduzione: salve, sono il programma automatico di smistamento della posta del tuo provider (nel mio caso, pobox.com). Ho tentato di mandare un tuo messaggio a un utente (in questo caso, yumana @sinf.net) ma non ci sono riuscito, per cui te lo restituisco insieme all'allegato che volevi mandare.

Peccato che tutto questo non è vero.

Infatti andando a scavare nei miei archivi ho scoperto di non aver mai mandato posta a quell'utente. Soprattutto, non ho mai mandato allegati come quello (un file .bat) che mi è stato "restituito".

In altre parole, il virus si spaccia per una figura autorevole e genera un messaggio assolutamente plausibile, inducendo quindi il destinatario ad aprirlo. Molto astuto.

Inoltre rivelando i codici nascosti nel messaggio salta fuori questa roba (i segni di maggiore e minore sono stati sostituiti da parentesi quadre):

MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=EXAW9gld7b759o45cR
Message-Id: <20020222090318.0BF5B7DF14@granite.pobox.com>
Date: Fri, 22 Feb 2002 04:03:18 -0500 (EST)
Content-Type: text/html;
[x-html][HTML][HEAD][/HEAD][BODY]
[iframe src=cid:S6AT9cAy6w16vX height=0 width=0]
[/iframe]
[FONT][/FONT][/BODY][/HTML]
[/x-html]

Quell'iframe è secondo me un'istruzione molto sospetta, dato che se ho capito bene apre una finestra di altezza zero e larghezza zero (tipico comportamento da spyware o virus).

Tutto questo mi ha indotto inizialmente a sospettare che si trattasse di una nuova forma molto creativa di attacco virale, ma in realtà è soltanto la confezione a essere creativa e nuova, mentre il virus in sè è piuttosto vecchio: si chiama HTML.mimeExploit, risale ai primi del 2001 e viene già riconosciuto da tempo dai principali antivirus, come Vet e Inoculate-It. In breve, il virus agisce in questo modo: include nel messaggio un codice HTML che sfrutta una vecchia vulnerabilità di Internet Explorer (una delle tante), inducendo IE a eseguire automaticamente l'allegato.

Trovate la documentazione, e la patch per correggere questa vulnerabilità, presso il sito di Microsoft.

Ve lo dice sempre, zio Paolo, che usare Outlook e Internet Explorer fa male alla salute.

Se cercate alternative, provate Opera (www.opera.com) e Eudora (www.eudora.com). Meglio ancora, la vecchia versione di Eudora, quella del 1997 che uso io e che non interpreta l'HTML e quindi è immune a quasi tutti i virus che fregano Outlook, è disponibile gratuitamente su questa pagina di Zeus News. Scegliete la sezione Windows, l'area Software, e cliccate su Vai. Troverete il mio Eudora Light 3.06 (è gratuito e liberamente distribuibile).

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (3)

{Matteo Laera}
Grazie Paolo, conservo ancora a casa dei miei genitori "INTERNET PER TUTTI" comprato nel lontano....boh non ricordo più ora ho 48 anni ma all'epoca comprai un pentium 486 dx2 PCI!!! Mi hai fatto appassionare all'informatica. Grazie a te mi sono appassionato all'argomento e mi sono laureato.
24-3-2017 13:25

Paolo Attivissimo
come bloccare? Leggi tutto
26-7-2004 02:13

Giuseppe
Eccellente Leggi tutto
26-7-2004 01:21

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual il tuo tipo di videogioco preferito?
Arcade
Avventura
Azione
FPS
Gestionale
Gioco di ruolo
Guida
Party game
Picchiaduro
Platform
Puzzle
Rhythm game
Serious game
Simulazione
Sportivo
Strategia

Mostra i risultati (1405 voti)
Luglio 2020
WindowsFX, la distribuzione Linux per chi vuole lasciare Windows 10
Come disinstallare il nuovo Edge da Windows 10
Iliad diventa operatore di rete fissa
Hai installato Immuni?
Windows 10 rinnova il menu Start
Arriva Edge, e i computer rallentano
Giugno 2020
Favicon sfruttate per rubare i dati delle carte di credito
Windows 10, dov'è finita l'opzione per rimandare gli aggiornamenti?
Windows 10, l'ultimo aggiornamento riavvia i Pc a forza
La Casa Bianca e il video delle cataste di mattoni
Pornografia, il Parlamento prepara un filtro al web
La foto che paralizza alcuni smartphone Android
Il trucco che elimina la pubblicità da YouTube
L'Italia censura il progetto Gutenberg
Immuni, chiedete e vi sarà dato
Tutti gli Arretrati


web metrics