Discussioni su virus e antivirus
 

E' arrivata una mail...

SB 29 Nov 2016 18:37
è chiaramente un fake, solo che invece del solito allegato .zip con dentro il
.js c'è un codice html che cliccando su 'stampa' attiva un link con del codice
molto probabilmente malevolo.

Si stanno evolvendo, se migliorano l'italiano ci cascheranno in parecchi.

Qui il testo della mail da Magic Mail Monitor, ho solo taroccato il mio
indirizzo:

ciao
_____________________________

Return-Path: <noreply@sda.it>
Original-Recipient: rfc822 ******* ******* it
Received: from vsmtp6 ******* it (192.168.70.232) by cpms-8a1.cp ******* it
(8.6.142)
id 5613E301164BEE00 for ******* ******* it; Tue, 29 Nov 2016 13:12:50
+0100
Received: from isp.nexeo.es (154.56.138.145) by vsmtp6 ******* it (8.6.060.43)
id 583414E3036D2B1E for ******* ******* it; Tue, 29 Nov 2016 13:12:43
+0100
Received: from localhost (localhost.localdomain [127.0.0.1])
by isp.nexeo.es (Postfix) with ESMTP id C929210843B4
for ******* ******* it>; Tue, 29 Nov 2016 13:06:56 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at isp.nexeo.es
Received: from isp.nexeo.es ([127.0.0.1])
by localhost (isp.nexeo.es [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id EwEJOgqu0K-M for ******* ******* it>;
Tue, 29 Nov 2016 13:06:55 +0100 (CET)
Received: from host-ssk9.res.openband.net (unknown [216.40.70.9])
(Authenticated sender: pedidos@hiperrecambiosandalucia.es)
by isp.nexeo.es (Postfix) with ESMTPSA id CFBB610843BC
for ******* ******* it>; Tue, 29 Nov 2016 13:06:54 +0100 (CET)
Message-ID: <FF054B4F0EDAF4479B9ED7629677E64E@sda.it>
From: "SDA Express Courier" <noreply@sda.it>
To: ******* ******* it>
Subject: si dispone di una spedizione
Date: Tue, 29 Nov 2016 13:06:43 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_194D_01D24A41.6E90AAB0"
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416

This is a multi-part message in MIME format.

------=_NextPart_000_194D_01D24A41.6E90AAB0
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Il vostro pacchetto con il codice di spedizione 02189408 =C3=A8 arrivato =
al 23 novembre 2016. Corriere non ha espresso un pacco per te. Stampare l=
'etichetta di spedizione e mostrarlo in ufficio postale pi=C3=B9 vicino p=
er ottenere il pacchetto.

Scarica etichetta di spedizione

Se il pacco non viene ricevuto entro 3 giorni lavorativi Sda Express ha i=
l diritto di chiedere un risarcimento da voi per esso sta tenendo nella q=
uantit=C3=A0 di 77,18 EUR per ogni giorno di conservazione. =C3=88 possib=
ile trovare le informazioni sulla procedura e le condizioni di pacchi ten=
endo l'ufficio pi=C3=B9 vicino.

Tutela della Privacy
n conformit=C3=A0 al D.lgs 261/1999 e s.m.i. e alla Delibera 413/14/CONS =
della AGCOM la Carta della Qualit=C3=A0 di SDA recepisce gli obiettivi di=
quali t=C3=A0 dei servizi rientranti nell=E2=80=99 ambito del servizio p=
ostale e definisce le procedure di gestione dei reclami e dei rimborsi co=
n riferimento a tali servizi. Con la presente Carta della Qualit=C3=A0 SD=
A si impegna a realizzare i seguenti obietti vi: - definire e rispettare =
gli standard di qualit=C3=A0 dei servizi offerti; - definire i prodotti o=
fferti alla Cliente la; - prevedere la possibilit=C3=A0 di indennizzi qua=
lora non vengano rispettati gli obiettivi di qualit=C3=A0 tenendo conto d=
elle disposizioni vigenti ; - definire la procedura di reclamo; - facilit=
are le opportunit=C3=A0 di contatto con l=E2=80=99azienda; - stabilire un=
rapporto di fiducia con la Cliente la basato su un=E2=80=99informazione =
semplice e comprensibile. La Carta della Qualit=C3=A0 =C3=A8 scaricabile =
dal sito internet www.sda.it . I contratti standard per l=E2=80=99erogazi=
one dei servizi sono generalmente a tempo indeterminato e non costituisco=
no obbligo di acquisto per il Cliente che, salvo diversi accordi, ordiner=
=C3=A0 di volta in volta i servizi ad esso necessari. In ogni caso lo ste=
sso pu=C3=B2 comunque recedere dal contratto in ogni momento con preavvis=
o di 30 giorni. Negli accordi standard le variazioni contrattuali ai sens=
i dell=E2=80=99art. 12 delle Condizioni Generali di Trasporto vengono com=
unicati al Clie nte con preavviso di 30 giorni. In tale lasso di tempo lo=
stesso potr=C3=A0 comunicare di non voler accettare la variazioni apport=
ate e recedere senza penali.Clicca qui per cancellarti.

------=_NextPart_000_194D_01D24A41.6E90AAB0
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns=3D"http://www.w3.org/1999/xhtml"><HEAD>
<META content=3D"text/html; charset=3Dutf-8" http-equiv=3Dcontent-type>
<META name=3DGENERATOR content=3D"MSHTML 8.00.6001.23588"></HEAD>
<BODY>
<TABLE cellSpacing=3D0 cellPadding=3D0 width=3D600 align=3Dcenter>
<TBODY>
<TR>
<TD style=3D"HEIGHT: 102px" bgColor=3D#1468b5><IMG=20
style=3D"FONT-FAMILY: Arial; COLOR: #fefffa; FONT-SIZE: 11pt" borde=
r=3D0=20
alt=3DSDA src=3D"http://www.lnpalliance.org/1ZuVUSs/B4XwtOfnsM2.jpg=
"> </TD></TR>
<TR>
<TD>
<P=20
style=3D"PADDING-BOTTOM: 1px; PADDING-LEFT: 24px; PADDING-RIGHT: 30=
px; FONT-FAMILY: Arial; FONT-SIZE: 13pt; PADDING-TOP: 0px"><B></B><BR><BR=
>Il=20
vostro pacchetto con il codice di spedizione=20
<B>02189408</B> =C3=A8 arrivato al <B>23 novembre 2016</B>.=20
Corriere non ha espresso un pacco per te. Stampare l'etichetta di=20
spedizione e mostrarlo in ufficio postale pi=C3=B9 vicino per otten=
ere il=20
pacchetto.</P>
<P style=3D"TEXT-ALIGN: center; FONT-FAMILY: Arial; FONT-SIZE: 13pt=
"><A=20
style=3D"COLOR: #0c5eb0"=20
href=3D"http://www.lnpalliance.org/1ZuVUSs/ml1tF5IW3bPvdy.php?id=3D=
******* ******* it"=20
target=3D_blank>Scarica etichetta di spedizione</A></P>
<P=20
style=3D"PADDING-BOTTOM: 5px; PADDING-LEFT: 34px; PADDING-RIGHT: 30=
px; FONT-FAMILY: Arial; FONT-SIZE: 13pt; PADDING-TOP: 8px">Se=20
il pacco non viene ricevuto entro 3 giorni lavorativi Sda Express h=
a il=20
diritto di chiedere un risarcimento da voi per esso sta tenendo nel=
la=20
quantit=C3=A0 di 77,18 EUR per=20
ogni giorno di conservazione. =C3=88 possibile trovare le informazi=
oni sulla=20
procedura e le condizioni di pacchi tenendo l'ufficio pi=C3=B9 vici=
no.</P>
<P=20
style=3D"PADDING-BOTTOM: 4px; PADDING-LEFT: 25px; PADDING-RIGHT: 33=
px; FONT-FAMILY: Arial; FONT-SIZE: 11pt; PADDING-TOP: 5px">Tutela=20
della Privacy<BR><BR>n conformit=C3=A0 al D.lgs 261/1999 e s.m.i. e=
alla=20
Delibera 413/14/CONS della AGCOM la Carta della Qualit=C3=A0 di SDA=
recepisce=20
gli obiettivi di quali t=C3=A0 dei servizi rientranti nell=E2=80=99=
ambito del servizio=20
postale e definisce le procedure di gestione dei reclami e dei rimb=
orsi=20
con riferimento a tali servizi. Con la presente Carta della Qualit=C3=
=A0 SDA si=20
impegna a realizzare i seguenti obietti vi: - definire e rispettare=
gli=20
standard di qualit=C3=A0 dei servizi offerti; - definire i prodotti=
offerti=20
alla Cliente la; - prevedere la possibilit=C3=A0 di indennizzi qual=
ora non=20
vengano rispettati gli obiettivi di qualit=C3=A0 tenendo conto dell=
e=20
disposizioni vigenti ; - definire la procedura di reclamo; - facili=
tare le=20
opportunit=C3=A0 di contatto con l=E2=80=99azienda; - stabilire un =
rapporto di fiducia=20
con la Cliente la basato su un=E2=80=99informazione semplice e comp=
rensibile. La=20
Carta della Qualit=C3=A0 =C3=A8 scaricabile dal sito internet www.s=
da.it . I=20
contratti standard per l=E2=80=99erogazione dei servizi sono genera=
lmente a tempo=20
indeterminato e non costituiscono obbligo di acquisto per il Client=
e che,=20
salvo diversi accordi, ordiner=C3=A0 di volta in volta i servizi ad=
esso=20
necessari. In ogni caso lo stesso pu=C3=B2 comunque recedere dal co=
ntratto in=20
ogni momento con preavviso di 30 giorni. Negli accordi standard le=20
variazioni contrattuali ai sensi dell=E2=80=99art. 12 delle Condizi=
oni Generali di=20
Trasporto vengono comunicati al Clie nte con preavviso di 30 giorni=
.. In=20
tale lasso di tempo lo stesso potr=C3=A0 comunicare di non voler ac=
cettare la=20
variazioni apportate e recedere senza penali.<A style=3D"COLOR: #03=
62ac"=20
href=3D"http://www.lnpalliance.org/1ZuVUSs/ml1tF5IW3bPvdy.php?id=3D=
52771253878"=20
target=3D_blank>Clicca qui</A> per cancellarti. </P></TD></TR>
<TR>
<TD style=3D"HEIGHT: 40px" bgColor=3D#0e68b1><IMG=20
style=3D"FONT-FAMILY: Arial; COLOR: #fbffff; FONT-SIZE: 13pt" borde=
r=3D0=20
alt=3DSDA src=3D"http://www.lnpalliance.org/1ZuVUSs/cy9oP8g.jpg">=20
</TD></TR></TBODY></TABLE></BODY></HTML>

------=_NextPart_000_194D_01D24A41.6E90AAB0--
BIG Umberto 29 Nov 2016 18:50
SB in data 18:37, martedì 29 novembre 2016, nel gruppo it.comp.sicurezza.virus
ha scritto:

> è chiaramente un fake, solo che invece del solito allegato .zip con dentro il
> .js c'è un codice html che cliccando su 'stampa' attiva un link con del
> codice molto probabilmente malevolo.
>
> Si stanno evolvendo, se migliorano l'italiano ci cascheranno in parecchi.
>
> Qui il testo della mail da Magic Mail Monitor, ho solo taroccato il mio
> indirizzo:

A parte che é vecchia, gira giá da tempo...

A parte che se qualcuno accidentalmente clicca sui link che hai lasciato tali e
quali, quel qualcuno poi si in*****a con te...

Ma era necessario postare TUTTA la mail ????

--
+-------------------------------------------------------------------+
| Fatto adulterio, mentito, rubato. |
| Continuamente ******* toccato. |
| Fin dall'eta' di sei anni ero gia' condannato... |
| ...e divenuto un poco cecato (cit.) |
+-----#55--------------------------------------Verita'--------------+
Leonardo Serni 29 Nov 2016 20:01
On Tue, 29 Nov 2016 18:37:15 +0100, SB <stNOOObenevSPAM ******* it> wrote:

>è chiaramente un fake, solo che invece del solito allegato .zip con dentro il
>.js c'è un codice html che cliccando su 'stampa' attiva un link con del codice
>molto probabilmente malevolo.

Il link ridirige su un server in ******* che risponde con


http://<RANDOMID>.ricerca-spedizioni65.org/<RANDOMNAME>.php?id=<TUAEMAILINBASE64>

e questo ti manda un ulteriore redirect a

http://<RANDOMID>.ricerca-spedizioni65.org ******* pacchetto_39728.zip

dentro cui c'è un ******* Javascript offuscato.

:%s/[[]"[^"]*",[^]]*\("[^"]*"\)[]].[a-z]*()/\1/g

in vim consente di eliminare un primo strato di ralla. Poi

:%s/"\([^"]*\)" + "\([^"]*\)"/"\1\2"/g

elimina il secondo strato.

A questo punto lo script è abbastanza leggibile. Verifica se c'è C:\WINDOWS, e
- se
sì - si scarica


h**p://metrocitytiles.com/wp-con**nt/plugi**/yith-woocomm****-wishli**/form.qwe

(appena finisco scrivo a metrocitytiles)

e lo esegue con "CMD.EXE /c".

Il ******* ha SHA256 d1120b99754fad35bf02866b0e429e8b40726297e28d5c800a0fdd3f7e9
a cui
dovete aggiungere 0716d (perché googlare se qualcuno ha beccato il mio SHA256
è una
idea meravigliosa, peccato non sia originale -- anche se suppongo che sia assai
più
semplice monitorare virustotal).

VirusTotal dà una detect rate di 5/56, e chi lo becca lo fa con l'euristica.

Baidu Win32.Trojan.WisdomEyes.16070401.9500.9758 20161129
CrowdStrike Falcon (ML) malicious_confidence_98% (D) 20161024
Invincea trojan.win32.carberp.i 20161128
McAfee-GW-Edition BehavesLike.Win32.ObfusKovter.gc 20161129
Qihoo-360 HEUR/QVM42.0.0000.Malware.Gen 20161129

All'interno del ******* EXE c'è un installer con due DLL (trefoils.dll e
system.dll) e
un pacco di ulteriore ralla (Atropine.SFP). I casi sono due: il nome "trefoil"
è un
puro caso, o l'autore è uno studente di medicina; la correlazione fra fattore
TFF-3
(per gli amici, Trefoil) e atropina non mi pare roba che un informatico abbia
sotto
le dita. Oppure l'autore soffre di Crohn; io gli avrei augurato il cagasangue ma
si
sa che il Signore fa un po' come crede.

Comunque, sospetto che Atropine.SFP sia un ******* criptato con l'encrypt di
Windows e
trefoils si occupi della decodifica. La chiave è in trefoils o in system.

Avessi un po' di tempo con la RM, potrei levarmi la curiosità di vedere cosa
fa.

Leonardo
--

A terrible beauty is born.
- W. B. Yeats, Easter 1916
SB 30 Nov 2016 10:32
Il giorno Tue, 29 Nov 2016 18:50:53 +0100, BIG Umberto <nomail@nospam.invalid>
ha scritto:

>SB in data 18:37, martedì 29 novembre 2016, nel gruppo it.comp.sicurezza.virus
>ha scritto:

>> Qui il testo della mail da Magic Mail Monitor, ho solo taroccato il mio
>> indirizzo:
>
>A parte che é vecchia, gira giá da tempo...

Probabile, ma io l'ho ricevuta solo ieri.

>A parte che se qualcuno accidentalmente clicca sui link che hai lasciato tali e
>quali, quel qualcuno poi si in*****a con te...

Ok, ma se non lasciavo tutto Leonardo non riusciva a fare la sua *****isi, e se
guardi bene i link sono su più righe, per cui sarebbe puro masochismo
ricomporli
e poi cliccarci su.

>Ma era necessario postare TUTTA la mail ????

Secondo me si, in fondo era solo un testo html, tuttavia se uno ha un modem a
14.4k può essere un problema, e mi scuso.


--
ciao
Stefano
SB 30 Nov 2016 10:40
Il giorno Tue, 29 Nov 2016 20:01:55 +0100, Leonardo Serni <lserni@gmail.com> ha
scritto:

>On Tue, 29 Nov 2016 18:37:15 +0100, SB <stNOOObenevSPAM ******* it> wrote:
>
>>è chiaramente un fake, solo che invece del solito allegato .zip con dentro il
>>.js c'è un codice html che cliccando su 'stampa' attiva un link con del
codice
>>molto probabilmente malevolo.
>
>Il link ridirige su un server in ******* che risponde con
>
>
http://<RANDOMID>.ricerca-spedizioni65.org/<RANDOMNAME>.php?id=<TUAEMAILINBASE64>
[...]

>All'interno del ******* EXE c'è un installer con due DLL (trefoils.dll e
system.dll) e
>un pacco di ulteriore ralla (Atropine.SFP). I casi sono due: il nome "trefoil"
è un
>puro caso, o l'autore è uno studente di medicina; la correlazione fra fattore
TFF-3
>(per gli amici, Trefoil) e atropina non mi pare roba che un informatico abbia
sotto
>le dita. Oppure l'autore soffre di Crohn; io gli avrei augurato il cagasangue
ma si
>sa che il Signore fa un po' come crede.
>
>Comunque, sospetto che Atropine.SFP sia un ******* criptato con l'encrypt di
Windows e
>trefoils si occupi della decodifica. La chiave è in trefoils o in system.
>
>Avessi un po' di tempo con la RM, potrei levarmi la curiosità di vedere cosa
fa.

Riassumendo cambia il modo di scaricare il malware, ma resta un tentativo di
criptazione ransomware, con probabile successiva richiesta di riscatto bitcoin.

Grazie della spiegazione

--
ciao
Stefano

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni su virus e antivirus | Tutti i gruppi | it.comp.sicurezza.virus | Notizie e discussioni sicurezza virus | Sicurezza virus Mobile | Servizio di consultazione news.