nuovo virus camuffato da Zelig

eraser

Utente Attivo
60
5
Da alcuni giorni si sta diffondendo un nuovo worm. Il virus, chiamato W32.Marque o Voltan.A, scritto in C/C++ e compresso in ASPack 2.12, si diffonde attraverso una e-mail in formato HTML che indirizza verso un sito. L'e-mail fa riferimento ad un noto personaggio del programma Zelig.
Dal sito incriminato viene automaticamente scaricato il virus sottoforma di zelig.scr. (ScreenSaver)
L'e-mail si diffonde con il seguente oggetto "Il momento e'catartico" e con questo testo:
"Ricevo e cortesemente inoltro,.... un premio per la genialità
hanno reso mitico un salva schermo scaricalo, "poesie catartiche", che non sai cosa ti perdi.
Ciao"
Il worm, lungo 36.352 bytes, si diffonde utilizzando un motore SMTP proprio e prende gli indirizzi dalla rubrica degli accounts di Windows (Windows Address Book). Installa lo screensaver ssmarque.scr e configura le seguenti voci sul registro
HKCU\Control Panel\Screen Saver.Marquee\Text
settando la frase che apparirà sullo screensaver:

"A volte ti sento così vicina...A volte ti sento così lontana...Certo che hai proprio un cellulare di sheetah!"

configura lo screensaver

HKCU\Control Panel\Desktop\SCRNSAVE.EXE "ssmarque.scr"

e controlla se lo screensaver è attivo, se no lo attiva

HKCU\Control Panel\Desktop\ScreenSaveActive "1"

Il worm crea inoltre il file ZELIG.SCR-09FE7B68.pf sotto la dir C:\WINDOWS\Prefetch\

Se si ha una linea analogica/isdn il virus ha anche la funzione di dialer, in quanto modifica la connessione remota indirizzandola verso un numero a pagamento 899.
Sembra funzionare solo su sistemi basati su Windows 2000/XP, in quanto su macchine basate su Windows98 mancano alcune dll necessarie per farlo funzionare (dnsapi.dll).

Il virus è riconosciuto per ora da Norton Antivirus, McAfee VirusScan e F-prot 3.14b (questi da me testati) .
Non ha effetti dannosi ed è relativamente facile da rimuovere, visto che non si installa nella voce di avvio automatico del registro (CurrentVersion\Run).

HWInit Labs (Me medesimo Labs :D , cioè l'analisi l'ho fatta io :D )
 
Ultima modifica:

PzSniper

Utente Attivo
292
4
Grazie della tempestiva segnalazione, ma è possibile la prossima volta che escono nuove minaccie, vedere se trovi già anche il removal tool, sarebbe ancora più utile così ;)

Ciauz
 

PzSniper

Utente Attivo
292
4
Originariamente postato da PzSniper
Grazie della tempestiva segnalazione, ma è possibile la prossima volta che escono nuove minaccie, vedere se trovi già anche il removal tool, sarebbe ancora più utile così ;)

Ciauz
Ecco cosa dice TGCOM:

Virus:bloccata truffa targata Zelig
Installava una connessione a pagamento
I militari del Nucleo Regionale di Polizia Tributaria della Guardia di Finanza di Milano hanno bloccato sul nascere una truffa online che sfruttava il nome della celebre trasmissione tv Zelig per installare dialer all'insaputa degli utenti.
Dietro la promessa di risate facili, l'allegato contenuto nella e-mail infetta deviava occultamente le connessioni Internet su un numero "899" a pagamento.

Bloccata tempestivamente, la truffa, alimentata dal nome dello show tv di successo, in breve avrebbe potuto araggiungere dimensioni impressionanti.

Il messaggio si stava diffondendo in tutt'Italia e anche in Europa, dicono le Fiamme Gialle. Dalle 12 del 24 ottobre alle 19.20 del 27 ottobre, dice la Guardia di Finanza, ci sono state quasi 58.000 minuti di telefonate a questo numero al costo di un euro e 80 centesimi al minuto. Con una costanza del genere, calcolano gli inquirenti, in un mese la truffa avrebbe toccato un milione di euro.

Dietro la truffa, secondo quanto rivelato dalle autorità competenti, si nasconderebbe un incensurato commerciante di pelli di Caracas. Giunto in Italia per incrementare il numero delle linee telefoniche dedicate all'inganno, il malfattore è stato indagato per frode informatica e diffusione di virus. Reati che prevedono dai due ai cinque anni di reclusione.

Usato per realizzare la frode diffusa tramite falsi salvaschermi da scaricare, il sito www.francescone.com è stato bloccato e chiuso dalla Guardia di Finanza.



Cmq, è più un DIALER..che polli al mondo mamma mia..
 

Ci sono discussioni simili a riguardo, dai un'occhiata!

Entra

oppure Accedi utilizzando

Hot: E3 2021, chi ti è piaciuto di più?

  • Ubisoft

    Voti: 26 20.3%
  • Gearbox

    Voti: 2 1.6%
  • Xbox & Bethesda

    Voti: 84 65.6%
  • Square Enix

    Voti: 9 7.0%
  • Capcom

    Voti: 6 4.7%
  • Nintendo

    Voti: 18 14.1%
  • Altro (Specificare)

    Voti: 11 8.6%

Discussioni Simili