Strana mail da Banca XYZ

Mah, conoscendo come si replicano questi worm, non e' necessario (anzi non
serve a niente) che il tuo adress sia "pubblicato" da qualche parte e non
vedo niente di particolare nella risposta di banca xyz, anzi, direi che e'
puntuale e precisa.

btw, sara' divertente vedere quanti falsi positivi generera' questo
messaggio, senza contare la gia' disdicevole abitudine di configurare gli
antivirus & co per la notifica al mittente (che ormai e' praticamente sempre
falsificato)

bye
Koba (moderatore)

--- Enclosed, please find the posted message.
Date: Fri, 30 Jan 2004 09:18:57 +0100
From: Marco Latini - Alpha Sistemi <m.latini<at>alpha-sistemi.it>
Subject: Strana mail da Banca XYZ
X-Mailer: IceWarp Web Mail 4.2.0

Volevo segnalare queste stranezze:

1) Ricevo da Banca XYZ la seguente Mail
-------------------------------------------------------------
Gentile Cliente,

desideriamo informarLa che in questi giorni si sta diffondendo, sempre piu'
velocemente, il Virus Worm Sober.

Questo Virus Worm invia un'email con un oggetto variabile tra quelli di seguito riportati:

Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Registration confirmation
registration confirmation

Per una maggiore comprensione dello stesso Le riportiamo di seguito la
modalita' di diffusione: il virus, una volta contagiato un computer, estrae
tutti gli indirizzi di posta presenti sul programma di posta stesso
installato sul computer, dai documenti e dagli indirizzi presenti in
rubrica.

Estratti gli indirizzi, li spezza in due parti (tutto quello che si trova
prima della @ e tutto quello che si trova dopo) e li ricompone in maniera
semicasuale, utilizzandoli poi come mittenti di nuovi messaggi. Il virus
quindi comincia a creare dei messaggi di posta, generando anche gli oggetti
in modo casuale, allegandosi agli stessi per diffondersi e moltiplicarsi in
rete.

Questo tipo di funzionamento consente al virus di comporre messaggi molto
diversi per contenuto, mittente e oggetto, in modo da renderne piu'
difficile l'identificazione o il blocco da parte di sistemi antispam (di
quei programmi cioe' creati apposta per filtrare la posta indesiderata).

Anche se il mittente ha un indirizzo simile a quelli utilizzati da Banca
XYZ, al fine di evitare il propagarsi del Virus, La invitiamo a non prendere
in considerazione tali comunicazioni, indipendentemente dal mittente e dalla
provenienza ed a non aprire il file allegato.

Desideriamo inoltre rassicurarLa che il sito XYZ.it ha adottato tutte le
misure necessarie per la protezione dei nostri Servizi on line e per le
email ricevute ed inviate, in maniera tale da evitare la diffusione di Virus
o di Worm informatici.

Al fine di prevenire la diffusione ed il contagio da questa tipologia di
Virus Worm La informiamo che un qualsiasi prodotto di Antivirus,
correttamente configurato ed aggiornato, puo' rilevare e mettere in
sicurezza il Personal Computer utilizzato.

Cogliamo l'occasione per porgere cordiali saluti.

XYZ.it
numero verde [..]
www.XYZ.it
info<at>XYZ.it
-------------------------------------------------------------------------------

2) Quasi in contemporanea ho ricevuto il worm e la mail del mio provider che
me lo rilevava e toglieva

3) Chiedo informazioni di come gli attaccanti hanno ricevuto questo mio
indirizzo di posta (su tutti gli altri non ho ricevuto niente) chiedendo
spiegazioni tecniche, ma mi arriva la mail seguente
---------------------------------------------------------------------------------------
Gentile Signor zyx,

facendo seguito alla Sua comunicazione, Le segnalo che l'invio della mail
informativa ha come scopo la sola informazione da parte di Banca XYZ, verso
i Clienti. Il virus genera indirizzi di posta elettronica casuali, per
questo motivo abbiamo ritenuto opportuno avvisare i nostri Clienti in modo
tale da definire la posizione di Banca XYZ (completamente estranea alla
diffusione di virus). Per quanto riguarda i servizi on line, Le confermiamo
che la diffusione di questo virus non compromette la sicurezza delle
piattaforme Web. La invitiamo quindi a non prendere in considerazione alcuna
mail contentente virus provenienti da indirizzi simili a quelli di Banca XYZ
-------------------------------------------------------------------------------------

La risposta non mi sembra esauriente. Che ne pensate

Marco Latini

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List