Allerta virus da sedicenti postmaster

Questa non è uno dei tanti allarmi antivirus fasulli che circolano in Rete. Lo so che mi occupo di bufale, ma proprio per questo ho ottimi motivi per aver indagato e per ritenere che questo sia un problema reale e non un allarme ingiustificato.



[ZEUS News - www.zeusnews.it - 24-02-2002]

Se ricevete dal vostro provider (in genere da postmaster o da mailer-daemon) un e-mail che dice in inglese che un vostro messaggio a un utente è stato respinto, ma sapete di non aver mai mandato messaggi all'utente citato, DIFFIDATE. Se i messaggi indicano che c'è un allegato al messaggio, NON aprite l'allegato prima di un controllo antivirus. Meglio ancora, non apritelo del tutto.

Sospetto infatti sia un virus piuttosto astuto, che si spaccia per l'amministratore della posta del vostro provider nel tentativo di convincervi ad aprire un allegato pericoloso. L'indizio del fatto che è un falso è appunto che l'indirizzo citato come destinatario del messaggio non è fra quelli a cui avete mai scritto. Confusi? Spiego subito qui sotto.

Attenzione: non ho ancora trovato conferme, per cui prendete questo avviso con cautela, ma nel frattempo aumentate la normale dose di scetticismo. Valgono le regole di sempre: mai aprire un allegato, chiunque ne sia il mittente, senza controllo con un antivirus aggiornato. E non usate programmi insicuri che eseguono l'HTML annidato nella posta, come Outlook.

Esempio pratico

Ho ricevuto una dozzina di messaggi di questo genere:

-------------------------------------------------
Date: Fri, 22 Feb 2002 04:03:20 -0500 (EST)
From: MAILER-DAEMON@pobox.com (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: topone@pobox.com

This is the Postfix program at host granite.pobox.com.

The message below did not reach its final destination.

What happened exactly? Our mailserver granite.pobox.com accepted your message and tried to forward it to YUMANA @SINF.NET.

[bla bla]

------------------------------------------------------

Traduzione: salve, sono il programma automatico di smistamento della posta del tuo provider (nel mio caso, pobox.com). Ho tentato di mandare un tuo messaggio a un utente (in questo caso, yumana @sinf.net) ma non ci sono riuscito, per cui te lo restituisco insieme all'allegato che volevi mandare.

Peccato che tutto questo non è vero.

Infatti andando a scavare nei miei archivi ho scoperto di non aver mai mandato posta a quell'utente. Soprattutto, non ho mai mandato allegati come quello (un file .bat) che mi è stato "restituito".

In altre parole, il virus si spaccia per una figura autorevole e genera un messaggio assolutamente plausibile, inducendo quindi il destinatario ad aprirlo. Molto astuto.

Inoltre rivelando i codici nascosti nel messaggio salta fuori questa roba (i segni di maggiore e minore sono stati sostituiti da parentesi quadre):

MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=EXAW9gld7b759o45cR
Message-Id: <20020222090318.0BF5B7DF14@granite.pobox.com>
Date: Fri, 22 Feb 2002 04:03:18 -0500 (EST)
Content-Type: text/html;
[x-html][HTML][HEAD][/HEAD][BODY]
[iframe src=cid:S6AT9cAy6w16vX height=0 width=0]
[/iframe]
[FONT][/FONT][/BODY][/HTML]
[/x-html]

Quell'iframe è secondo me un'istruzione molto sospetta, dato che se ho capito bene apre una finestra di altezza zero e larghezza zero (tipico comportamento da spyware o virus).

Tutto questo mi ha indotto inizialmente a sospettare che si trattasse di una nuova forma molto creativa di attacco virale, ma in realtà è soltanto la confezione a essere creativa e nuova, mentre il virus in sè è piuttosto vecchio: si chiama HTML.mimeExploit, risale ai primi del 2001 e viene già riconosciuto da tempo dai principali antivirus, come Vet e Inoculate-It. In breve, il virus agisce in questo modo: include nel messaggio un codice HTML che sfrutta una vecchia vulnerabilità di Internet Explorer (una delle tante), inducendo IE a eseguire automaticamente l'allegato.

Trovate la documentazione, e la patch per correggere questa vulnerabilità, presso il sito di Microsoft.

Ve lo dice sempre, zio Paolo, che usare Outlook e Internet Explorer fa male alla salute.

Se cercate alternative, provate Opera (www.opera.com) e Eudora (www.eudora.com). Meglio ancora, la vecchia versione di Eudora, quella del 1997 che uso io e che non interpreta l'HTML e quindi è immune a quasi tutti i virus che fregano Outlook, è disponibile gratuitamente su questa pagina di Zeus News. Scegliete la sezione Windows, l'area Software, e cliccate su Vai. Troverete il mio Eudora Light 3.06 (è gratuito e liberamente distribuibile).

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (3)

{Matteo Laera}
Grazie Paolo, conservo ancora a casa dei miei genitori "INTERNET PER TUTTI" comprato nel lontano....boh non ricordo più ora ho 48 anni ma all'epoca comprai un pentium 486 dx2 PCI!!! Mi hai fatto appassionare all'informatica. Grazie a te mi sono appassionato all'argomento e mi sono laureato.
24-3-2017 13:25

Paolo Attivissimo
come bloccare? Leggi tutto
26-7-2004 02:13

Giuseppe
Eccellente Leggi tutto
26-7-2004 01:21

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Sei mai stato escluso da una bacheca Facebook di un amico?
No, mai.
Sì, da un mio ex partner.
Sì, da una donna o da un uomo che ho corteggiato insistentemente.
Sì, per le mie idee in politica.
Sì, per un commento relativo al calcio.
Sì, per una critica.
Sì, senza un motivo apparente.
Non uso Facebook.

Mostra i risultati (1733 voti)
Maggio 2020
Windows 10, rilasciato l'update di maggio. Microsoft: ''Non aggiornate''
Immuni, rilasciati i sorgenti
Da Samsung lo smartphone da usare in guerra
Microsoft confessa: ''Sull'open source abbiamo sbagliato tutto''
Da OnePlus lo smartphone che vede attraverso gli oggetti (e i vestiti)
Windows 10, inizia l'abbandono dei 32 bit
Facebook, arriva la nuova interfaccia. Senza possibilità di fuga
UE, giro di vite sui cookie
L'app che snellisce Windows 10
Windows 10, l'aggiornamento di maggio uscirà con un bug
WhatsApp, finalmente arriva il supporto a più dispositivi
Aprile 2020
Windows 10 diventa più scattante con il May 2020 Update
Rubare i dati da un Pc sfruttando le vibrazioni delle ventole
Il software per impersonare gli altri su Zoom e Skype
Pirateria, la soluzione è sospendere Telegram
Tutti gli Arretrati


web metrics