Come nascondere un troiano in questi giorni? ovviamente in un messaggio di auguri. Quindi nelle mie caselle postali tin mi sono ritrovato un po’ di auguri non esattamente sinceri.
Nel primo caso, a dire il vero, «eCard.scr era infetto con il virus Trojan.Pandex ed e’ stato cancellato perche’ il file non poteva essere pulito.», quindi mi sono semplicemente scompisciato leggendo il testo degli auguri:
Ciao, uomo!Jane Invia ti eCard con salutiControlla il tuo attaccamento ;) Buon Natale!Cordiali saluti.
Sì, gli spazi non c’erano proprio.
Il secondo caso è invece più interessante. C’è la caduta di stile di usare come mittente mod-submit@bear.com che fa tanto Apache; però l’oggetto (“New Year wishes for you”) e il testo (“As you embrace another New 2008 Year (a capo) http://newyearwithlove.com/“> non erano male.
Non so esattamente cosa faccia Mario con il suo DNS, ma è interessante, perché non è possibile contattare il sito, visto che viene trasformato in 1.0.0.0. Per i curiosi, il vero indirizzo è 74.66.92.4 dove risponde un server russo (nginx, meglio noto per essere quello su cui gira YouPorn) che invia questo testo:
Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can <!-- a href="fck2008.exe" !--><script language="javascript"><!-- a href="fck2009.exe" -->document.write( unescape( %3C%61%20%68%72%65%66%3D%22%68%61%70 %70%79%6E%65%77%79%65%61%72%32%30%30%38%2E%65%78%65%22%3E' ) );</script>click here</a> to launch the download and then press Run. Enjoy!
Tu, stupidottero, clicchi su questo file happynewyear2008.exe, e non so che cosa ti becchi. D’altra parte, la mamma non ti ha insegnato di non cliccare mai su un eseguibile sconosciuto?
Ultimo aggiornamento: 2007-12-29 08:16
A dire il vero a me un nslookup su quel sito restituisce 195.56.9.34, che è di un ISP ungherese. Entrambi gli IP da browser restituiscono la stessa pagina.
Ma c’è veramente qualcuno che in qualche modo ci guadagna a diffondere troiani?
A me ne è invece arrivata una da una ragazza madre russa (tale Elena di 31 anni) che spiega che non ha i soldi per pagare il gas e quindi chiede se le mando una stufa a legna… (la legna ce l’ha a quanto pare)
A parte che mandare una stufa di un centinaio di chili per posta la vedo dura, sarebbe interessante capire come mai una mail ufficialmente proveniente dalla russia ha nell’header come server di partenza “orange.nl”…
In questi casi però mi viene sempre da pensare “metti che fosse vero”…
Il fatto è che ne vediamo talmente tante che ormai mi sa che siamo diventati tutti un po’ cinici, e non è una bella cosa…
E’ un poco ambigua la frase “dove risponde un server russo..”.
Il sito youporn.com ha come IP 74.86.111.8, e nginx sembra il nome del server russo, mentre ti riferivi all’HTTP daemon.
Probabilmente volevi dire che l’IP che tu hai in mano è russo, su questo server gira nginx, che usa anche youporn (onore al merito, col traffico che deve avere deve essere ultra solido), ma dalla frase non è molto chiaro.
Auguri di buon anno comunque!
—– Original Message —–
From: Chang Malone
To: kestner@dcs.it
Sent: Sunday, December 30, 2007 8:14 AM
Subject: Buon Natale
Buona Giornata, caro Amico!
Jane Invia ti eCard con saluti
Controlla il tuo attaccamento ;)
Buon Natale!
Cordiali saluti.
——————————————————————————–
Don’t get caught with egg on your face. Play Chicktionary! Check it out! COME VEDETE E’ ARRIVATA ANCHE A ME GRAZIE CMQ DELLA DRITTA AUGURI A TUTTI