Selected news item is not available in the requested language.

Italian language proposed.

Close

07/04/2016
17:26

Attenzione alla falsa email della RAI avente per oggetto "ultimo sollecito pagamento"

È in circolazione dal 7 aprile 2016 una falsa email della RAI che sollecita il pagamento del canone, ma in realtà essa diffonde il Trojan.Win32.Dropper.VL

Il C.R.A.M. di TG Soft è entrato in contatto con una falsa email da parte della RAI.

Questa mail porta con sè un allegato .zip che contiene il malware Trojan.Win32.Dropper.VL.

INDICE

==> La falsa email

==> Il file scaricato

==> Considerazioni
 


La falsa email

La mail dovrebbe rappresentare un sollecito del pagamento del Canone RAI, pena una multa nel caso in cui l'utente non pagasse.
L'intestazione della email è la seguente:
  • Oggetto --> Canone Rai - ultimo sollecito di pagamento: 83054983
  • Data --> Thu, 7 Apr 2016 04:49:54 -0400
  • Mittente --> RAI - Radio Televisione Italiana <a2s90XXXX.368771927@postacertificata.XXX.it>

Di seguito riportiamo l'immagine del corpo della email.

Accedendo al link non si viene reindirizzati su un sito legato alla RAI.
Si accede ad una pagina apparentemente priva di contenuti, ospitata sul sito http://julietteXXrvant.com/js/.

Analizzando il codice HTML, si può notare la presenza di un tag che serve a far ricaricare la pagina e quindi scaricare un archivio zip da un account Dropbox.
<meta HTTP-EQUIV="REFRESH" content="0; url=https://www.dropbox.com/XXXX/Fatt.07042016.zip?dl=1">

Torna ad inizio pagina

Il file scaricato

Il file che viene scaricato è un archivio .zip, con il nome Fatt.07042016.zip.
Esso contiene al suo interno un file eseguibile chiamato Fatt.07042016.exe.
Questo è un malware, più precisamente un Trojan.Win32.Dropper.VL.

Nome file Fatt.07042016.exe
Dimensione 129976 byte
MD5 6E327CF6F82838ACAED9FCBB1EAE0A58 

Una volta eseguito il file, esso viene cancellato dalla posizione dove è stato eseguito e crea una copia di se stesso con nome "SYSTEM.PIF" in esecuzione automatica dell'utente corrente.

Windows XP
%userprofile%\menu avvio\programmi\esecuzione automatica\SYSTEM.PIF

Windows Vista/7/8/10
%userprofile%\appdata\roaming\Microsoft\Windows\Start Menu\Programs\Startup\SYSTEM.PIF

Il malware effettua una connessione con l'indirizzo IP 46.183.219.70 situato in Lettonia.

Torna ad inizio pagina

Considerazioni

Per la cronaca, citiamo le informazioni riportate sul portale della RAI in merito al Canone radio-televisivo:

Il pagamento del canone avviene mediante addebito nella fattura per i titolari di utenza di fornitura di energia elettrica. [...]
Limitatamente al 2016, il primo addebito di canone avverrà nella prima fattura elettrica successiva al 1 luglio 2016.
 
(Maggiori informazioni qui). 
Inoltre, nel sito della RAI viene fatto riferimento a questa mail, invitando l'utente alla prudenza.

Come regola generale non bisogna mai dimenticarsi che dietro ogni link o ogni allegato di tutte le mail può celarsi un malware o un Crypto-Malware. Buona norma sarebbe evitare di cliccare su link o su allegati di e-mail che giungano da sconosciuti ma anche da persone che sembrano conosciute ma dalle quali non attendavamo ne allegati ne altro.

A partire dall'aggiornamento 8.1.47 del 7 aprile 2016, VirIT è in grado di identificare il Trojan.Win32.Dropper.VL.

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- che TG Soft rende liberamente utilizzabile sia in ambito privato sia in ambito aziendale. Vir.IT eXplorer Lite è interoperabile con altri AntiVirus già presenti sul computer, senza doverli disinstallare, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità. Vai alla pagina di download.


Torna ad inizio pagina

TG Soft
Centro Ricerche Anti-Malware

 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: