Nuova ondata di malware via mail

Durante le notte odierna si è verificato un nuovo tentativo di infettare i computer degli utenti italiani della rete Internet attraverso l’invio di messaggi di posta recanti all’interno del corpo un link ipertestuale per il download di malware camuffato da documento pdf.

Il messaggio avente soggetto “Rimesse Doc!” o “Fwd: Rimesse Doc!” o ancora “Fwd: Rimesse” cerca di ingannare il ricevente facendo riferimento ad una presunta fattura

Ciao,
Si prega di confermare il 20% tt pagamento anticipato.
nei confronti della fattura proforma PO81955/2012
http://dominioviolato.it/Operazione.zip
Aspetto la tua risposta

Cordiali saluti 

Al momento sono stati individuati otto differenti siti dai quali può essere scaricato il file Operazione.it, sette dei quali italiani ed uno austriaco.

 

Il file zip, che Virus Total rileva come malevolo (16/44), contiene un file eseguibile con nome composto da 76 caratteri a cui fa seguito il punto (77°) ed i tre caratteri dell’estensione exe

Operazione.Pdf______________________________________________________________.exe

Sia Windows XP che 7 riconoscono correttamente la falsa estensione pdf seguita dai caratteri underscore.

BullGuard anti-virus identifica immediatamente la minaccia.

Per il riconoscimento da parte degli altri anti-virus si può fare riferimento al report di Virus Total per il file .exe (17/43).

L’esame degli headers degli otto diversi messaggi di posta ricevuti evidenzia come tutti siano partiti dal medesimo server statunitense.