Il C.R.A.M. di TG Soft è entrato in contatto con una falsa email da parte della RAI.
Questa mail porta con sè un allegato .zip che contiene il malware Trojan.Win32.Dropper.VL. |
INDICE
==> La falsa email
==> Il file scaricato
==> Considerazioni |
|
La falsa email
La mail dovrebbe rappresentare un sollecito del pagamento del Canone RAI, pena una multa nel caso in cui l'utente non pagasse.
L'intestazione della email è la seguente:
- Oggetto --> Canone Rai - ultimo sollecito di pagamento: 83054983
- Data --> Thu, 7 Apr 2016 04:49:54 -0400
- Mittente --> RAI - Radio Televisione Italiana <a2s90XXXX.368771927@postacertificata.XXX.it>
Di seguito riportiamo l'immagine del corpo della email.
Accedendo al link
non si viene reindirizzati su un sito legato alla
RAI.
Si accede ad una pagina apparentemente priva di contenuti, ospitata sul sito
http://julietteXXrvant.com/js/.
Analizzando il codice HTML, si può notare la presenza di un tag che serve a far ricaricare la pagina e quindi scaricare un archivio zip da un account
Dropbox.
<meta HTTP-EQUIV="REFRESH" content="0; url=https://www.dropbox.com/XXXX/Fatt.07042016.zip?dl=1">
Il file scaricato
Il file che viene scaricato è un archivio .zip, con il nome
Fatt.07042016.zip.
Esso contiene al suo interno un file eseguibile chiamato
Fatt.07042016.exe.
Questo è un malware, più precisamente un
Trojan.Win32.Dropper.VL.
Nome file |
Fatt.07042016.exe |
Dimensione |
129976 byte |
MD5 |
6E327CF6F82838ACAED9FCBB1EAE0A58 |
Una volta eseguito il file, esso viene cancellato dalla posizione dove è stato eseguito e crea una copia di se stesso con nome "
SYSTEM.PIF" in esecuzione automatica dell'utente corrente.
Windows XP
%userprofile%\menu avvio\programmi\esecuzione automatica\SYSTEM.PIF
Windows Vista/7/8/10
%userprofile%\appdata\roaming\Microsoft\Windows\Start Menu\Programs\Startup\SYSTEM.PIF
Il malware effettua una connessione con l'indirizzo IP
46.183.219.70 situato in Lettonia.
Considerazioni
Per la cronaca, citiamo le informazioni riportate sul portale della
RAI in merito al Canone radio-televisivo:
Il pagamento del canone avviene mediante addebito nella fattura per i titolari di utenza di fornitura di energia elettrica. [...]
Limitatamente al 2016, il primo addebito di canone avverrà nella prima fattura elettrica successiva al 1 luglio 2016.
(Maggiori informazioni
qui).
Inoltre, nel sito della
RAI viene fatto riferimento a questa mail, invitando l'utente alla prudenza.
Come regola generale non bisogna mai dimenticarsi che dietro ogni link o ogni allegato di tutte le mail può celarsi un malware o un Crypto-Malware. Buona norma sarebbe evitare di cliccare su link o su allegati di e-mail che giungano da sconosciuti ma anche da persone che sembrano conosciute ma dalle quali non attendavamo ne allegati ne altro.
A partire dall'aggiornamento
8.1.47 del 7 aprile 2016,
VirIT è in grado di identificare il
Trojan.Win32.Dropper.VL.
Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- che TG Soft rende liberamente utilizzabile sia in ambito privato sia in ambito aziendale. Vir.IT eXplorer Lite è interoperabile con altri AntiVirus già presenti sul computer, senza doverli disinstallare, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità. Vai alla pagina di download. |
|
TG Soft
Centro Ricerche Anti-Malware