giovedì 20 gennaio 2011

m28sx: un worm per Twitter

Mikko Hypponen, Chief Research Officer di F-Secure, ha dato notizia di un worm che si sta diffondendo attivamente su Twitter proprio in queste ore, come potete vedere dall'immagine qui a fianco.


Questo worm utilizza dei link brevi di tipo goo.gl e reindirizza ad una pagina html che si chiama m28swx (m28sx.html).

Un certo numero di utenti dicono di aver ricevuto messaggi di spam da amici che hanno incluso un link ad una pagina infetta di un sito web. Questi link sono prodotti utilizzando il servizio goo.gl di "URL shortening" di Google. Controllando il link "maligno" si rivela che conduce a un URL che termina indirizzando la pagina 'm28sx.html'.

Mi raccomando è assolutamente necessario che nessuno clicchi sul link.

La dinamica di diffusione vede una serie di messaggi che vengono inviati dal utenti infetti e che contengono appunto questa URL che, nel caso venga cliccata, porta all'infezione e quindi al successivo giro di invii. 

Nella figura sopra potete vedere alcuni messaggi tipo.

Non ci sono molte notizie per ora, sembra però che nell'infezione sia conivolto un server, il cui indirizzo IP è 91.200.240.228, che al momento sembra essere stato messo off-line.

La cosa interessante è che se si consulta Twittersphere (vedete la relativa figura) che riporta le i link top che vengono scambiati su Twitter, si nota che almeno 3 link appartengono a indirizzi .it.

Per cui, ribadisco... prestate la massima attenzione a questo tipo di messaggi e, mi raccomando...

NON CLICCATE!!

Appena ci saranno altre notizie cercherò di riportarle...

------------------------------------------------------------
Aggiornamento

Un approfondimento riportato sulla rubrica 0day di ZDNET aggiunge qualche particolare, emerge infatti che Nicolas Brulez, un ricercatore dei Kaspersky Lab, ha detto che le pagine "m28sx.html" reindirizzano ad un dominio statico ucraino.

Questo dominio reindirizza poi l'utente ad un altro indirizzo IP che, in passato, è stato implicato nella distribuzione di finti anti-virus. "Quest'ultimo indirizzo IP farà infine il lavoro finale di reindirizzamento, verso il sito che propone il fasullo AV", ha spiegato Brulez.

Le modalità, poi, sono le solite, un messaggio di "avviso" sostiene che sul computer sono in esecuzione delle applicazioni sospette e invita l'utente a eseguire una scansione che darà come risultato una serie di infezioni inducendo l'utente a scaricare un tool di disinfezione falso che invece costituisce il vettore dell'infezione "vera".

Nessun commento:

Posta un commento

http://www.wikio.it