Una nuova campagna di spam genera false e-mail che dichiarano di contenere e-card provenienti dalla catena di ipermercati francese Carrefour, ma in realtà rimandano gli utenti direttamente a malware. Secondo i ricercatori del vendor di sicurezza belga MX Lab, anche se le e-mail di spam hanno come oggetto un "You’ve received A Carrefour Bank E-Card!" (Tu hai ricevuto una Banca Carrefour E-Card!) e pretendono di provenire da un indirizzo E-Cards@bank.com, portano il marchio di Hallmark, una fonte ben nota di e-card di qualità.
Nel messaggio e-mail si legge:
Nel messaggio e-mail si legge:
Hello!
You have just received a Carrefour E-Card.
To see it, click here,
There’s something special about that E-Card feeling. We invite you to make a friend’s day and send one.
Hope to see you soon,
Your friends at Carrefour
Ciao!
Hai appena ricevuto un Carrefour E-Card.
Per vederla, cliccate qui,
C'è qualcosa di speciale con il feeling della E-Card. Ti invitiamo a creare un friend's day ed inviare una.
Spero di vederti presto,
I toui amici al Carrefour
Non c'è attaccamento maligno, ma cliccando sul collegamento porta gli utenti a un file chiamato Carrefour.exe ospitato su un sito web esterno all'indirizzo hxxp://hivefr2-21.fornex.org/Carrefour.exe. Al momento della scrittura, l'URL non ha risposto alla nostra richiesta: "Safari non può aprire la pagina" hxxp://hivefr2-21.fornex.org/Carrefour.exe" perché il server dove si trova questa pagina non risponde". E 'possibile che il set-up di questa campagna sia fatto male, ma tenete presente che se si riceve tale messaggio contrassegnatelo immediatamente come spam. C'è sempre una modifica che l'autore effettuerà alla campagna successivamente e il payload maligno sarà ancora disponibile per il download. Secondo il rapporto di scansione di Virus Total, il file è una variante del famigerato virus Sality.
Antivirus
|
Versione
|
Last update
|
Result
|
|---|---|---|---|
AhnLab-V3
|
2011.07.12.02
|
2011.07.12
|
Win32/Kashu.E
|
AntiVir
|
7.11.11.93
|
2011.07.12
|
W32/Sality.AT
|
Antiy-AVL
|
2.0.3.7
|
2011.07.12
|
Backdoor/IRC.Zapchast
|
Avast
|
4.8.1351.0
|
2011.07.12
|
Unix:Malware-gen
|
Avast5
|
5.0.677.0
|
2011.07.12
|
Win32:Mirc-AB [PUP]
|
AVG
|
10.0.0.1190
|
2011.07.12
|
Win32/Sality
|
BitDefender
|
7.2
|
2011.07.12
|
Win32.Sality.3
|
CAT-QuickHeal
|
11.00
|
2011.07.11
|
W32.Sality.U
|
ClamAV
|
0.97.0.0
|
2011.07.12
|
PUA.IRC-Client.mIRC-3
|
Commtouch
|
5.3.2.6
|
2011.07.12
|
W32/Sality.gen2
|
Comodo
|
9362
|
2011.07.12
|
Virus.Win32.Sality.Gen
|
DrWeb
|
5.0.2.03300
|
2011.07.12
|
BackDoor.IRC.Bot.802
|
Emsisoft
|
5.1.0.8
|
2011.07.12
|
Riskware.Client-IRC.Win32.mIRC!IK
|
eSafe
|
7.0.17.0
|
2011.07.12
|
Win32.Artemis
|
eTrust-Vet
|
36.1.8439
|
2011.07.12
|
Win32/Sality.AA
|
F-Prot
|
4.6.2.117
|
2011.07.12
|
W32/Sality.gen2
|
F-Secure
|
9.0.16440.0
|
2011.07.12
|
Backdoor.IRC.ZGS
|
Fortinet
|
4.2.257.0
|
2011.07.12
|
-
|
GData
|
22
|
2011.07.12
|
Win32.Sality.3
|
Ikarus
|
T3.1.1.104.0
|
2011.07.12
|
not-a-virus:Client-IRC.Win32.mIRC
|
Jiangmin
|
13.0.900
|
2011.07.12
|
Win32/HLLP.Kuku.Gen
|
K7AntiVirus
|
9.108.4894
|
2011.07.11
|
Virus
|
Kaspersky
|
9.0.0.837
|
2011.07.12
|
Virus.Win32.Sality.bh
|
McAfee
|
5.400.0.1158
|
2011.07.12
|
W32/Sality.gen.z
|
McAfee-GW-Edition
|
2010.1D
|
2011.07.12
|
W32/Sality.gen.z
|
Microsoft
|
1.7000
|
2011.07.12
|
Virus:Win32/Sality.AT
|
NOD32
|
6287
|
2011.07.12
|
Win32/Sality.NBA
|
Norman
|
6.07.10
|
2011.07.12
|
W32/Sality.BM
|
nProtect
|
2011-07-12.03
|
2011.07.12
|
Win32.Sality.3
|
Panda
|
10.0.3.5
|
2011.07.12
|
Bck/MIRCBased.BI
|
PCTools
|
8.0.0.5
|
2011.07.12
|
Malware.Sality
|
Prevx
|
3.0
|
2011.07.12
|
-
|
Rising
|
23.66.00.03
|
2011.07.11
|
Win32.KUKU.ky
|
Sophos
|
4.67.0
|
2011.07.12
|
Mal/Sality-D
|
SUPERAntiSpyware
|
4.40.0.1006
|
2011.07.12
|
-
|
Symantec
|
20111.1.0.186
|
2011.07.12
|
Backdoor.IRC.Flood
|
TheHacker
|
6.7.0.1.253
|
2011.07.12
|
W32/Sality.gen
|
TrendMicro
|
9.200.0.1012
|
2011.07.12
|
PE_SALITY.RL
|
TrendMicro-HouseCall
|
9.200.0.1012
|
2011.07.12
|
PE_SALITY.RL
|
VBA32
|
3.12.16.4
|
2011.07.12
|
Virus.Win32.Sality.bakc
|
VIPRE
|
9843
|
2011.07.12
|
Virus.Win32.Sality.at (v)
|
ViRobot
|
2011.7.12.4564
|
2011.07.12
|
Win32.Sality.N
|
VirusBuster
|
14.0.121.0
|
2011.07.12
|
Win32.Sality.BL
|
| Informazioni addizionali |
|---|
| MD5: 65df4530033356e9d0a1d441ed40b164 |
| SHA1: d8cfd766a3a7c53644b187a1fbef50b66e99d2c5 |
| SHA256: 79220d28389111e5436fb37f983a1945a006ef5a9da59b5963e0285d2fe75856 |
| Dimensioni File: 859574 bytes |
| Data scansione: 12-07-2011 16:40:29 (UTC) |
Fortunatamente, il file ha già un buona velocità di rilevamento degli antivirus e i messaggi di spam non sono molto ben costruiti. Una e-mail che collega direttamente a un file .Exe dovrebbe renderla sospetta a qualsiasi rispettabile filtro anti-spam. Al momento della stesura di questo articolo il link incluso nella mail non è più funzionale, probabilmente a causa degli sforzi takedown da parte della comunità di sicurezza. Tuttavia, come già detto, gli spammer potrebbe lanciare una nuova ondata con un nuovo collegamento in qualsiasi momento. Gli utenti sono invitati a prestare attenzione per quanto riguarda tutti gli allegati di posta elettronica e i collegamenti anche quando sembra che siano stati inviati da un'azienda di fiducia. Tutti i file dovrebbero essere controllati attraverso motori di scansione di servizi come Virus Total per verificare se sono infetti. Il richiamo delle e-card è in uso da anni, soprattutto intorno alle festività. Nonostante l'avvertimento degli esperti di sicurezza contro l'esecuzione dei file eseguibili, che pretendono di essere cartoline d'auguri ci sono numerosi utenti che ancora vengono infettati da questi attacchi.
Nessun commento:
Posta un commento