facebook-images.org - kencovirtualcafe.co.uk / attaco ad Msn quinta parte

Nell'ultimo post avevo ipotizzato che ben presto la marea di strani messaggi che ha preso di mira la rete di Msn/Live Messenger avrebbe fatto un salto di qualità. A 24 ore di distanza ho ricevuto le prime segnalazioni che confermano questa ipotesi.

I messaggi incriminati hanno la stessa irridente forma di quelli citati in precedenza. In particolare se il proprio nick fosse gattonero si riceverebbe qualcosa del genere:

foto?? haha :P http://facebook-images.org/showimage.php?=gattonero@live.zz

La prima novità sta nell'uso del dominio facebook-images.org i cui server si trovano nella zona dei grandi laghi negli Stati Uniti. Ovviamente questo sito non ha nulla a che fare con Facebook. Inoltre visitando la pagina parte automaticamente un download dal sito kencovirtualcafe.co.uk i cui server si trovano in Germania nei pressi di Karlsruhe.

Il file che viene scaricato ha una nome composta da una stinga casuale simile a questa:

IMG000785212586624-JPEG.EXE

Si tratta quindi di un eseguibile che tuttavia sfruttando il solito trucco della doppia estensione potrebbe apparire come una semplice immagine, di cui per altro ha anche la relativa l'icona. Si tratta sicuramente di un virus che tuttavia sfugge alla maggior parte degli antivirus. Dei 40 programmi di sicurezza utilizzati da VirusTotal solo due lo riconoscono come file infetto (ragione in più per convingersi che il miglior antivirus è nella la propria testa).

Su questo malware l'unico prodotto che sembra offrire un riconoscimento efficace è Windows Live Care che lo classifica come VirTool:Win32/CeeInject.gen!U e ne descrive le caratteristiche in questa pagina.

Puntate precedenti: prima, seconda, terza, quarta.