Questa mattina alle 5:23 mi arriva la seguente email:
Chiaramente un falso.
Alle 9:00 ricevo una telefonata da un Avvocato che ha ricevuto una mail analoga, ha già contattato l’ordine degli Avvocati che nel suo caso era di Agrigento e verificato che la via indicata come sede del fantomatico Avvocato era inesistente e l’Avvocato pure. Lui stesso mi ha detto che le notifiche non avvengono in questo modo, ma si è detto preoccupato per altri Avvocati meno attenti. Gli ho consigliato di far diramare una circolare dall’ordine degli Avvocati di Ravenna, ma questo tipo di messaggi non è arrivato solo agli Avvocati, e se ha raggiunto me può raggiungere altre migliaia di persone.
Ma cosa succede facendo click sulla cartella documenti? Viene scaricato in automatico un file compresso contenente due file. Una è un’immagine l’altro un file con estensione vbs.
L’immagine, e scusate per il termine, per i non addetti ai lavori, sembra un po’ una supercazzola:
L’altro file, quello con estensione .vbs ovvero un file scritto in Visual Basic Script, non è un testo, ne un PDF, quindi sicuramente non è un atto di citazione.
Io, per studiare tutti i nuovi casi in circolazione, scarico la posta in un computer senza antivirus e senza antispam, ma a questo punto decido di scansionarlo per cercare di capire se gli antivirus lo rilevano o che tipo di minaccia è.
Il primo antivirus che decido di testare è il sempre presente Windows Defender. Questo è il risultato:
Alziamo il livello e proviamo allora con AVG Free Edition:
Anche per lui, tutto in regola….
Proviamo allora con quello che viene ritenuto il miglior antivirus da molti siti di riferimento informatico, Kaspersky:
Niente anche per lui!!!
Abbiamo provato anche con AntiMalware Bytes un ottimo software di rilevazione di software malevoli, ed altri antivirus, ma niente, nessuno rileva niente.
Essendo anche sviluppatori di programmi, ho aperto con Microsoft Visual Studio il file, per cercare di analizzarlo.
Ovviamente è studiato per rendere il tutto meno comprensibile anche ad occhi esperti. Le variabili hanno nomi alfanumerici molto lunghi e di sicuro mancano commenti su quello che fanno le funzioni. Ma, andando a sostitutire i nome delle variabili con qualcosa di più leggibile, ho notato che viene creato un file XML. Altre funzioni come ADODB.Stream e Read indicano che si cerca di leggere in binario alcuni file di sistema per trasmetterli poi da qualche parte. Così ad occhio, senza entrare troppo nel dettaglio tecnico sembra che lo script serva per rubare le credenziali della posta elettronica. Cosa se ne fanno delle vostre credenziali di posta elettronica? Provate di leggere qua.
Le conclusioni di questa analisi sono che purtroppo nessun sistema di sicurezza risulta perfetto. L’attenzione deve partire innanzitutto da chi utilizza il computer, in quanto purtroppo, causa scatenante dell’attivazione della maggior parte dei virus. Se avete bisogno di chiarimenti non esitate a scrivere a direzione@informaticaravenna.it .
Buon informatica a tutti
Ing. Massimiliano Zuffi
Articoli recenti
- Convegno per CNA regionale, Ferrara 12 Marzo 2024
- Convegno regionale CNA – Digital Way 9 Maggio 2022
- Notebook Lenovo in offerta 13 Luglio 2021
- Ma non si era detto che Windows 10 sarebbe stato l’ultimo? 1 Luglio 2021
- Google blocca l’accesso a Youtube per i bambini di età inferiore ai 14 anni 17 Febbraio 2021
- Poste italiane e GDPR 9 Settembre 2020
- Ottenere un prestito da un utente Facebook? Mai stato così facile! 8 Agosto 2020
- Siete sicuri di poter chiudere in tranquillità le vostre aziende? 4 Agosto 2020
- Badge di riconoscimento 2020/2021 3 Agosto 2020
- Anonimous come Robin Hood? 28 Aprile 2020