Internet explorer beta 7 è falso
Data 19/4/2007 18:37:27
Argomenti: U.N. CONSUMATORI
| Sta circolando via spam tra le caselle di posta di tutto il mondo un messaggio nocivo scam che fa uso di una tecnica di spoofing per apparire ai destinatari come inviato dall'indirizzo admin[at]microsoft[dot]com e che include una immagine relativa ad internet Explorer 7.
Il messaggio e-mail, intitolato "Internet Explorer 7 Downloads" invita in maniera subdola gli utenti a scaricare il pachetto IE 7.0 Beta 2, cliccando sull'immagine inclusa nel corpo del messaggio. In realt l'immagine porta l'utente malcapitato a scaricare un file chiamato "ie7.0.exe", ospitato da vari siti web malevoli, un Trojan-Proxy.
Bisogna evidenziare che ancora molti antivirus non rilevano correttamente questo file come malware, e quindi necessario prestare la massima cautela in caso di ricezione di messaggi di questo tipo. Sunbelt, una delle prime aziende di sicurezza ad aver segnalato la minaccia, ha pubblicato un'analisi del malware eseguita nel suo ambiente Sandbox e il codice sorgente del messaggio spam. F-Secure ha classificato il malware come Virus.Win32.Grum.A, cos come Kaspersky e Sophos.
Secondo gli esperti di sicurezza attualmente non sono stati segnalati danni diffusi causati da questa nuova minaccia. Tuttavia il malware degno di attenzione per almeno due motivi: prima di tutto include una immagine molto convincente realizzata per riprodurre abbastanza fedelmente lo stile grafico usato da Microsoft per promuovere il suo nuovo browser, in secondo luogo il codice nocivo viene trasmesso alle vittime tramite il clic sulla immagine integrata nel messaggio di spam e non sfrutta il classico vettore dell'allegato di posta. Questo ultimo aspetto, secondo gli esperti, rende difficile bloccare i messaggi a monte, impedendo che raggiungano le caselle di posta degli utenti. Mikko Hypponen, chief research officer di F-Secure Corp. commenta: "L'idea di inviare un link sembra essere una tendenza tra gli attacker; ancora abbastanza nuova e funziona meglio rispetto all'invio diretto di un file".
Secondo Sophos, W32/Grum-A in grado di auto-spedirsi a tutti gli indirizzi di posta presenti nella rubrica del sistema infettato. Il codice nocivo inoltre manomette i registri di sistema per insediarsi nel PC attaccato e scaricare ulteriori file nocivi da internet. I dettagli sul payload del malware non sono ancora stati descritti in maniera esauriente dai vari vendor antivirus. Tuttavia questo tipo di codici normalmente installa programmi keystroke logger per rubare informazioni personali dal computer ospite e creano una rete di computer infetti per lanciare attacchi denial of service, le cosiddette botnet. Hypponen commenta: "Non sappiamo ancora niente sulla provenienza del malware stato programmato abbastanza bene ed difficile analizzarlo usando i normali strumenti". F-Secure ha ricevuto finora numerose segnalazioni di e-mail nocive ma un numero esiguo di segnalazioni di infezione. Questo indica che per il momento questo attacco ancora sotto controllo e limitato.
Inoltre il malware viene distribuito da svariati server in tutto i mondo, e questo rende difficile identificare tutte le fonti di infezione, procedendo alla chiusura dei siti o alla pulitura degli stessi. Secondo Hypponen, sembra infatti trattarsi di server web che sono stati compromessi in modo da forzare la distribuzione del codice nocivo. SANS Internet Storm Center raccomanda a tutti gli amministratori di rete di analizzare i propri log per assicurarsi di non star ospitando il malware.
Grum.A affligge solo la piattaforma Windows e Microsoft ha fatto sapere, tramite un portavoce, di star investigando sul problema e sull'impatto sui clienti. Ricordiamo che la versione finale di IE7 stata rilasciata da tempo. Per difendersi da questo tipo di messaggi fasulli Microsoft rende disponibile una pagina web dove spiega come riconoscere le "fake e-mail".
Fonte: Tweakness
A cura Unc Puglia sede di Adelfia
Progetto In.........formazione continua al cittadino.
|
|