| Autore |
 Discussione  |
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 05/10/2003 : 21:37:38
|
Il 29/09 mio padre ha ricevuto una mail bizzarra, la copio qui sotto con tanto di headers:
[ho cancellato questa parte su segnalazione di Carlo, ho cmq identificato il virus]
...dopodiché c'è l'allegato.
La cosa mi puzza di virus. Innanzitutto si spaccia per un errore di invio messggio, ma non specifica il tipo. Poi mio padre non ha mai inviato mail a quell'indirizzo, palesemente fatto di lettere a caso. Poi l'email è in HTML (che io sappia i server SMTP dovrebbero postare solo testo semplice, l'HTML è deprecato) e il tag iframe mi sa che serve a far aprire in automatico l'allegato. Poi la mail non viene dal dominio bigfoot[.com] ma da un utente Tiscali (l'IP del mittente e la mail di mio padre li ho mascherati io).
Ho cercato il nome del file con Google ma non ho trovato nulla, solo due pagine in giapponese.
Qualcuno sa dirmi cosa può essere? Sennò lo invio tipo alla McAfee e gli chiedo di dare un'occhiata.
Ciao
Gimli
Edited by - Gimli on 05/10/2003 21:48:46
Edited by - Gimli on 05/10/2003 21:58:52
Edited by - Gimli on 05/10/2003 22:44:01
Edited by - Gimli on 05/10/2003 22:50:12
|
|
|
Carlo
Senior Member
147 Messaggi |
Inserito il - 05/10/2003 : 22:08:03
|
Questa mail contiene un virus dal nome Xwav.eml.exploits (riconosciuto dal mio antivirus e-safe)
Saluti
Carlo |
 |
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 05/10/2003 : 22:48:39
|
Credo di aver eliminato la parte incriminata.
Sembra che la mail sia generata da una variante del virus swen, solo che in questo caso adotta un camuffamento diverso, non citato nella descrizione di Symantec. Ho beccato l'advisory qui:
htt*://us.mcafee[.com]/virusInfo/default.asp?id=helpCenter&hcName=swen
dopo aver riconosciuto la bestia guardando l'allegato con un editor esadecimale.
Accidenti a 'sti virus...
Ciao
P.S.
Rettifico: è sempre swen, solo che non avevo notato che usasse anche questa forma per diffondersi, è scritto in una riga microscopica nell'advisory di Symantec.
Mea culpa
Gimli
Edited by - Gimli on 05/10/2003 23:04:23 |
|
|
|
Carlo
Senior Member
147 Messaggi |
Inserito il - 05/10/2003 : 23:05:41
|
Si', la parte incriminata l'hai rimossa. Infatti ora posso entrarci senza problemi.
Carlo |
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 05/10/2003 : 23:13:05
|
Perfetto, come pensavo era il tag iframe + la descrizione dell'allegato che l'ha messo in allarme.
Grazie ancora dell'avviso.
Ciao
Gimli |
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 06/10/2003 : 00:17:46
|
SWEN sta dando grossi problemi, perchè
è incredibilmente camuffato, tant'è che
è proprio l'utente che, ritenendolo un
messaggio innocuo, ne agevola la diffusione
attivandolo, a differenza di altri scripts.
Comunque anke worms meno cattivi come
il BUGBEAR stanno
dando filo da torcere perfino alle banche !!
Guardate un po' qui
htt*://[www].corriere.it/Primo_Piano/Cronache/2003/06_Giugno/06/virus_banche.shtml
|
|
|
| |
Discussione |
|
Qualcuno sa cos'è questo?
Forum Bloccato
