Consigli pratici

Syndicate

Siti amici

Prozone.it

Freeware blog

Tophost

CINI

Adotta una mamma

Hakin9

Hakin9
Hakin9 è la rivista internazionale che tratta della sicurezza IT e hacking. E' indirizzata agli appassionati e specialisti del campo. Tratta delle problematiche attuali ed offre sempre nuove soluzioni.

Awards

Valid XHTML 1.0!

Valid CSS!

Level A conformance icon, W3C-WAI Web Content Accessibility Guidelines 1.0

Tophost
Home arrow Sicurezza arrow Truffe arrow Polizia: Prisco Mazzi? No, è un virus!

Polizia: Prisco Mazzi? No, è un virus!

Scritto da Francy de Lorenzi giovedì 17 maggio 2007
E' allerta massima in queste ore sul Web. Milioni di utenti stanno ricevendo una lettera di denuncia da parte di un presunto poliziotto, Prisco Mazzi. La lettera giunge attraverso la posta elettronica e avverte l'utente di violazione del copyright per il download di musiche MP3. Il poliziotto indica inoltre di aprire l'allegato inserendo la password fornita, decomprimere il file ZIP e leggere l'accordo presente al suo interno. Tutto sembra maledettamente serio ma ci sfugge un particolare: l'allegato è un virus.
Ecco come si presenta la mail:
Mittente: Prisco Mazzi / Polizia < Indirizzo e-mail protetto dal bots spam , deve abilitare Javascript per vederlo >
Oggetto: Oggetto: Polizia - Avviso 98361420
Sono capitano della polizia Prisco Mazzi. I rusultati dell'ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d'autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilita amministrativa.

Il suo numero nel nostro registro e 00098361420.
Non si puo essere errore, abbiamo confrontato l'ora dell'entrata al sito nel registro del server e l'ora del Suo collegamento al Suo provider. Come e l'unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d'autore.

Per questo per favore conservate l'archivio (avviso_98361420.zip parola d'accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l'accordo che si trova dentro.

La vostra parola d'accesso personale per l'archivio: 1605

E obbligatorio.

Grazie per la collaborazione.

All'interno dell'allegato, protetto da password per eludere inizialmente gli antivirus, è contenuto l'eseguibile UFFICIALMENTE_ACCORDO.exe

Il virus

Il file UFFICIALMENTE_ACCORDO.exe ha la funzione di Trojan Downloader: provvede, dunque, a scaricare il dialer msupdate.exe da un server russo ed avviarlo sul PC vittima. Una volta avviato, il dialer entra in azione chiamando numeri 899 e satellitari, con spiacevoli conseguenze per la propria bolletta.
Per garantire l'esecuzione del dialer all'avvio del PC, msupdate.exe provvede inoltre a creare il file C:\WINDOWS\system32\msmmi.exe, la seguente voce di registro
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"msmmi" = C:\WINDOWS\system32\msmmi.exe
oltre alla chiave:
HKEY_LOCAL_MACHINE\Software\msmmi

Rimozione

Per rimuovere completamente l'infezione, è possibile seguire questa procedura:
  • Scaricare SAV32CLI ed estrarlo in C:SAV32CLI facendo click su Unzip
  • Disabilitare il Ripristino Configurazione di Sistema
  • Avviare il PC in Modalità provvisoria
  • Avviare il Prompt dei Comandi (MS-DOS) da Start -> Programmi -> Accessori
  • digitare C:\SAV32CLI\SAV32CLI -REMOVE -P=C:\LOGFILE.TXT e attendere la fine della scansione
  • Start -> Esegui -> regedit -> ok
    Eliminare la seguente voce di registro:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "msmmi" = C:\WINDOWS\system32\msmmi.exe
    oltre alla chiave:
    HKEY_LOCAL_MACHINE\Software\msmmi
  • Riavviare il PC normalmente

Parla la Polizia di Stato

A conferma di quanto riportato in questo articolo, la Polizia di Stato ha pubblicato un comunicato ufficiale sul proprio sito web:
http://www.poliziadistato.it/pds/primapagina/internet/truffa_email.html
Ultimo aggiornamento ( giovedì 17 maggio 2007 )
< Prec.   Pros. >
[Indietro]