Occhio alla falsa patch di Microsoft

Circola su MSN Messenger un messaggio che invita gli utenti a scaricare una falsa patch da un pagina che sembra di Microsoft.com. Il file sospetto non viene segnalato dagli antivirus


Roma – In questi giorni alcuni lettori hanno segnalato a Punto Informatico di aver ricevuto, attraverso MSN Messenger, un messaggio solo in apparenza proveniente da Microsoft che li avvertiva dell’urgenza di scaricare una patch da una pagina Web in tutto simile, nel look, al sito Web del big di Redmond.

Fino a due giorni fa questa pagina era raggiungibile anche attraverso l’indirizzo syntax.at/microsoft, oggi non più attivo.

Sebbene il file che il messaggio ed il sito contraffatto invitano a scaricare, “patch.exe”, abbia un nome già utilizzato da diversi altri virus, fra cui il worm FBound ed i cavalli di Troia NetBus e Globan Bus, esso risulta negativo a tutti i test effettuati con i più diffusi antivirus sulla piazza.

L’autore (o gli autori) dell’inganno, nel testo del messaggio, sostengono di essersi avvalsi del “servizio di messaggistica d’emergenza” di Microsoft. Inutile dire che il big di Redmond non utilizza MSN Messenger per comunicare con i propri utenti, nemmeno in caso di emergenza…

Patch.exe è un file d’installazione di circa 1 MB che, una volta lanciato, installa sotto Windows tutta una serie di file e directory e apre in automatico una connessione a ircd.mircx.com, un sito che tenta poi di raggiungere anche attraverso il browser Web e MIRC, il noto client IRC.

Se la connessione avviene per mezzo del browser, il sito installa sulla macchina dell’utente un client Java con il quale si connette poi in automatico al canale #chat del server IRC irc.mircx.com.

Il programma tenta di connettersi a ircd.mircx.com in modo autonomo sia attraverso l’eseguibile principale, patch.exe, sia attraverso il file windos.exe che installa sotto la cartella “windows”. Questo fa supporre che i due eseguibili facciano parte di uno zombie, uno di quei tool controllabili da remoto a cui i cracker, attraverso IRC, possono inviare istruzioni e prelevare dati: generalmente gli zombie vengono utilizzati per lanciare attacchi distribuiti di tipo denial of service.

Punto Informatico, che ha inviato il file ad un noto laboratorio antivirus per analisi più approfondite, conta di pubblicare al più presto ulteriori informazioni circa la natura e le reali potenzialità del sistema.

Riportiamo di seguito la traduzione del messaggio in inglese che si trova sulla pagina da cui è possibile scaricare la finta patch.

Solo di recente diversi gruppi di sicurezza si sono resi conto che tutti gli attuali browser, incluso netscape e mozilla, contengono una porta aperta (backdoor) che consente agli hacker di entrare su qualsiasi PC prendendone il pieno controllo. Affinché sia possibile sbarazzarsi velocemente di questa “backdoor” noi abbiamo utilizzato il nostro servizio di messaggistica (nel testo originale definito “msging”, NdR) per contattare le persone che non hanno la patch installata. È imperativo che questa patch venga installata il più presto possibile prima che ogni danno malevolo venga fatto ai computer attorno al mondo. Seguire le istruzioni seguenti per istruirvi su come patchare il vostro computer.

Una volta che avete scaricato la patch, semplicemente eseguite la patch così da non essere più affetti dalla backdoor. Per assicurare che tutti siano patchati vi chiediamo di aiutarci a spedire (questo messaggio) ad altri computer non patchati.

– Microsoft.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Controllo
    ------------Gli USA auspicano di raggiungere quanto prima un accordo con la UE affinché anche il segnale di Galileo, come già il GPS, in tempo di crisi possa essere oscurato in specifiche regioni del pianeta.------------non perdono il vizio di voler controllare il pianeta. Peccato che l'Europa sia ancora così debole, e intanto Echelon continua ad ascoltare e trasmettere tutte le nostre comunicazioni...
  • Anonimo scrive:
    L1 ed L2
    Precisazione: gia' i GPS Navstar trasmettono su due frequenze, L1 ed L2, utilizzate per le correzioni delle coordinate sia in tempo reale che in post processing.Pur essendo convinto della necessità, da parte europea, di disporre di un sistema autonomo, dubito che la precisione realtime possa raggiungere il metro basandosi solo sui segnali satellitari, anche se il numero dei satelliti passerà dai 24 (32) attuali a 24+30.Probabilmente, proponendo una precisione metrica, si conta di poter implementare una rete terrestre (via radio) di correzione, con la stesso principio del DGPS.RafDouglas Candidi Tommasi C.
  • Anonimo scrive:
    finalmente qualcosa di serio
    dopo la lunghezza delle zucchine e le vestaglie indossate di giorno, finalmente qualcosa di concreto e che ha il mio piu' totale e completo appoggio.
    • Anonimo scrive:
      Re: finalmente qualcosa di serio
      mune hehemagari ci montano una sorta di linux cosi' puoi essere VERAMENTE d'appoggio- Scritto da: munehiro
      dopo la lunghezza delle zucchine e le
      vestaglie indossate di giorno, finalmente
      qualcosa di concreto e che ha il mio piu'
      totale e completo appoggio.
  • Anonimo scrive:
    Era ora!
    Speriamo che entro tre anni vengano commercializzati i primi ricevitori Galileo, un sistema Galileo mi sarebbe molto utile per i vari spostamenti causati dal mio lavoro!Proud To Be An European!
    • Anonimo scrive:
      Re: Era ora!
      - Scritto da: Proud To Be An European!
      Speriamo che entro tre anni vengano
      commercializzati i primi ricevitori Galileo,
      un sistema Galileo mi sarebbe molto utile
      per i vari spostamenti causati dal mio
      lavoro!E che te ne fai ? Il sistema dovrebbe entrare in funzione fra 6 anni....
  • Anonimo scrive:
    Bene
    Molto bene.
Chiudi i commenti