http://www.pcalsicuro.com/main/2007/05/avv-ubaldo-santarelli-un-altro-avvocato-torna-a-colpire/]
Dopo alcuni mesi tornano le e-mail di diffida, delle cui precedenti
varianti avevamo già parlato QUI e QUI.

Questa volta il testo dell'e-mail è:

Egregio Signore/a
Come da Raccomandata a.r.

Oggetto: Messa in mora del debitore ex art. 1219 c.c.

La mia assistita mi informa che a tutt'oggi risulta un credito nei
Vostri confronti dicomplessivi €. 900,00, come risulta dalla
documentazione allegata.

Per quanto precede Vi rendo noto che, in difetto di ricezione,
entro e non oltre dieci giorni dal ricevimento della presente, del
complessivo importo di €. 900,00 oltre gli interessi dal dovuto al saldo
di € 670,00, agirò legalmente nei Vostri confronti, con sensibile
aggravio di spese.

Rimango in attesa di un Vostro riscontro in merito – nel termine di
cui sopra – e distintamente Vi saluto.

Avv. Ubaldo Santarelli

Il link fornito nell'e-mail invita l'utente ad aprire una pagina web in
cui si comunica la messa in mora e si mostra il documento in dimensioni
molto piccole. L'utente, invitato a cliccarci sopra per leggere il
documento, scaricherà un trojan.hijacker dalle dimensioni di 32.512 bytes.

Eseguito, il trojan aggiunge tra l'elenco dei siti attendibili i
seguenti siti:

coppieesibizioniste.biz
gooogle.bz
my-securedoc.com
mysessoblog.com
mycreditoweb.com
phishnigfix.biz
preferiti-windows.com
ricercadoppia.com
qoogler.com

La home page di Internet Explorer viene reindirizzata a gooogle.bz (di
cui avevamo già parlato) e le zone di Internet Explorer vengono alterate.

Viene creato il file:

C:\WINDOWS\system32\winsvc\svc\google.exe
C:\WINDOWS\gratis.pbk (per le connessioni dialer)

e viene creata la seguente chiave di registro:

HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

Da questa chiave deriva poi anche l'icona Connessione Veloce presente
all'interno di Risorse del computer.

Vengono create due icone, chiamate Explorer.lnk e Internet.lnk, sul
desktop e nei programmi del menu avvio. Hanno la stessa icona di
Internet Explorer, per cui l'utente crede di lanciare il browser della
Microsoft e si vede aprire un'altra pagina.

Il trojan ha anche funzioni di dialer:

8993993** Wind Telecomunicazioni S.p.A
8990325** CSINFO S.p.A
8994511** Wind Telecomunicazioni S.p.A

Prevx1 rimuove il trojan.

*** RIMOZIONE MANUALE ***

- Attraverso regedit (START – Esegui – "regedit") eliminiamo – se
presenti – le seguenti chiavi di registro:

HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

- Riavviamo il computer. Al riavvio cancelliamo il file

C:\WINDOWS\system32\winsvc\svc\google.exe

- Cancelliamo la falsa icona di Internet Explorer sul desktop. La
riconosciamo cliccando con il tasto destro sull'icona e cliccando su
proprietà. Se vedremo nel campo destinazione la voce analcord.com quella
è l'icona da eliminare. Lo stesso facciamo nel menu start – programmi,
cerchiamo il collegamento che richiama analcord.com.

- Apriamo risorse del computer, dove prima c'era la connessione veloce
ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto
destro e poi elimina.

- Dobbiamo modificare la home page di Internet Explorer, la quale punta
ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di
sistema, possiamo aprire Internet Explorer cliccando con il tasto destro
sull'icona del programma e cliccando su proprietà internet. Rimuoviamo
gooogle.bz quindi dalla home page e modifichiamo anche l'elenco dei siti
attendibili, andando su Protezione – Siti attendibili – Siti.

Dovremmo aver rimosso manualmente l'infezione.

–
principio di Napoleone:
non attribuire a malintenzione cio' che puo'
essere semplicemente spiegato come imbecillita'
–
MaoX Blog:
http://maox.blogspot.com

Il testo della nuova e-mail nociva:

CITAZIONE
"Egregio Signore/a Come da Raccomandata a.r. Oggetto: Messa in mora del
debitore ex art. 1219 c.c. La mia assistita mi informa che a tutt'oggi
risulta un credito nei Vostri confronti di complessivi €. 900,00, come
risulta dalla documentazione allegata. Per quanto precede Vi rendo noto
che, in difetto di ricezione, entro e non oltre dieci giorni dal
ricevimento della presente, del complessivo importo di €. 900,00 oltre
gli interessi dal dovuto al saldo di € 670,00, agirò legalmente nei
Vostri confronti, con sensibile aggravio di spese. Rimango in attesa di
un Vostro riscontro in merito – nel termine di cui sopra – e
distintamente Vi saluto. Avv. Ubaldo Santarelli".

Il link fornito nell'e-mail invita l'utente ad aprire una pagina web in
cui si comunica la messa in mora e viene mostrato il documento in
dimensioni molto ridotte. L'utente, invitato a cliccare sul file per
leggere il documento, scaricherà un trojan.hijacker dalle dimensioni di
32.512 bytes.

Il Trojan aggiunge una serie di domini nocivi nell'elenco dei siti
attendibili di internet. La home page di Internet Explorer viene
reindirizzata a gooogle.bz (analisi) e le zone di Internet Explorer
vengono alterate. Vengono creati I file:
C:\WINDOWS\system32\winsvc\svc\google.exe e C:\WINDOWS\gratis.pbk (per
le connessioni dialer) e viene creata una chiave di registro che crea
l'icona Connessione Veloce presente all'interno di Risorse del computer.

Il codice nocivo crea inoltre due collegamenti, chiamate Explorer.lnk e
Internet.lnk, sul desktop e nei programmi del menu avvio. Hanno la
stessa icona di Internet Explorer, per cui l'utente crede di lanciare il
browser di Microsoft. Il trojan ha anche funzioni di dialer: 8993993**
Wind Telecomunicazioni S.p.A, 8990325** CSINFO S.p.A, 8994511** Wind
Telecomunicazioni S.p.A

Giuliani ha pubblicato anche una procedura per la rimozione manuale
dell'infezione:

- Attraverso regedit (START – Esegui – "regedit") eliminiamo – se
presenti – le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

- Riavviamo il computer. Al riavvio cancelliamo il file
C:\WINDOWS\system32\winsvc\svc\google.exe

- Cancelliamo la falsa icona di Internet Explorer sul desktop. La
riconosciamo cliccando con il tasto destro sull'icona e cliccando su
proprietà. Se vedremo nel campo destinazione la voce analcord.com quella
è l'icona da eliminare. Lo stesso facciamo nel menu start – programmi,
cerchiamo il collegamento che richiama analcord.com.

- Apriamo risorse del computer, dove prima c'era la connessione veloce
ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto
destro e poi elimina.

- Dobbiamo modificare la home page di Internet Explorer, la quale punta
ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di
sistema, possiamo aprire Internet Explorer cliccando con il tasto destro
sull'icona del programma e cliccando su proprietà internet. Rimuoviamo
gooogle.bz quindi dalla home page e modifichiamo anche l'elenco dei siti
attendibili, Protezione – Siti attendibili – Siti.

–
principio di Napoleone:
non attribuire a malintenzione cio' che puo'
essere semplicemente spiegato come imbecillita'
–
MaoX Blog:
http://maox.blogspot.com