giovedì 15 maggio 2008

Messaggio che ci informa che siamo indagati...

Da tempo circola nella nostra rete un messaggio che ben tutti noi conosciamo, a quanto pare sarebbe inviato dalla guardia finanza in realtà questa mail nasconde un trojan che NewHeur_PE.
La trappola scatta quando noi apriamo l'e-mail, e troviamo il nostro nome tra gli indagati, cosa succede per gli utenti ignari aumenta il timore, il pirata informatico sa bene che gli utenti non conoscono tutti gli acronimi, l'utente quando clicca sul sito http://www.caf-antifr.com/ invece viene reindirizzato sul sito www.mail-certificata.com/caff registrato presso un server di Chicago di proprietà del provider FDC Server.net, nella pagina c'è un link se viene cliccato apre un'innesistente documento la quale avvia il donwload del virus. Questo virus crea due cartelle nel nostro computer
C:\Windows\system32\3comnet
C:\windows\system32\3comnet\service
Crea una copia di se stesso svcnost.exe
Nel registro di configurazione di sistema è:
hkey_current_version\software\microsoft\windows\currentversion\run\"svcnost.exe"="c:\windows\system32\3comnet\service\svcnost.exe"
Il nostro trojan crea altre chiavi
hkey_current_user\software\microsoft\windows\currentversion\internetsetting\zonemap\domains\coppiastrana.com\(predefinito)=""

hkey_current_user\software\microsoft\windows\currentversion\internetsetting\zonemap\domains\coppiastrana.com\www\http=2

Il trojan abbassa le impostazioni di sicurezza per la navigazione in internet

hkey_current_user\software\microsoft\windows\currentversion\internetsetting\zone\2

Tutti noi conosciamo cosa fa un trojan non sto qui a specificare la funzione di questo virus, infine il nostro amico trojan scarica dal sito http://www.coppiastrana.com/ due file di testo subject.txt e body.txt questi file servono per compilare i messaggi di spam occio!

Nessun commento: