E-mail della “Polizia di Stato” minaccia punizioni, ma trasporta virus

__Prisco Mazzi, il “poliziotto” che minaccia via mail__Questo articolo vi arriva grazie alle gentili donazioni di “federico” e“riccardo.c****”.E’ in corso uno spamming di massa, a giudicare dall’ondata disegnalazioni che m’è piovuta nella casella di posta stamattina: lo scopoè infettare il maggior numero possibile di utenti sfruttando la leva della paura e del senso di colpa per far abbassare le difese. Ecco iltesto del messaggio, proveniente da [email protected]:—- inizio testo —-AvvisoSono capitano della polizia Prisco Mazzi. I rusultati dell’ultimaverifica hanno rivelato che dal Suo computer sono stati visitati i sitiche trasgrediscono i diritti d’autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo averela responsabilita amministrativa.Il suo numero nel nostro registro e 00098361420.Non si puo essere errore, abbiamo confrontato l’ora dell’entrata al sito nel registro del server e l’ora del Suo collegamento al Suo provider.Come e l’unico fatto, puo sottrarsi alla punizione se si impegna a nonvisitare piu i siti illegali e non trasgredire i diritti d’autore. Per questo per favore conservate l’archivio (avviso_98361420.zip parolad’accesso: 1605) allegato alla lettera al Suo computer, desarchiviateloin una cartella e leggete l’accordo che si trova dentro. La vostra parola d’accesso personale per l’archivio: 1605E obbligatorio.Grazie per la collaborazione.— fine testo —L’utente che la riceve, se si fa prendere dal panico e non sa che l’indirizzo del mittente di un e-mail si può falsificare con estremafacilità, potrebbe trascurare la grammatica traballante del messaggio ecascarci, aprendo l’allegato.Certo anche la natura poco ortodossa del messaggio (ma da quando in qua la Polizia di Stato dice “ti abbiamo beccato, ma se prometti che non lofarai più, potrai evitare la punizione”?) può destare qualcheperplessità, ma come s’è visto in altre occasioni analoghe, la paura e il senso di colpa (sono in molti quelli che hanno scaricato qualche MP3non troppo legalmente) scavalcano tranquillamente queste considerazionirazionali. E la trappola scatta.La trappola, in questo caso, è l’allegato, che è in formato ZIP cifrato per eludere gli antivirus ma contiene un file eseguibile anziché undocumento come dice il messaggio. L’eseguibile è per Windows, per cuigli utenti di altri sistemi operativi non corrono alcun rischio.Secondo quanto mi segnalano numerosi lettori (non ho un originalecompleto del messaggio e non ci tengo ad averlo, grazie), il fileeseguibile si chiama UFFICIALMENTE_ACCORDO.exe e viene già riconosciutodagli antivirus decenti come una variante del malware Win32/TrojanDownloader.Nurech.NAT.Stando alle segnalazioni degli utenti, l’attacco sembra provenire oessere transitato da un server della Corea del Sud (negli header c’ègs.venuspos.co.kr).Chi ha ricevuto il messaggio e ha aperto l’allegato sotto Windows èquindi infetto e deve chiedere l’intervento di un antivirus e di unamico o collega esperto (e darsi le randellate sulle dita per esserci cascato); chi non ha aperto l’allegato può semplicemente cestinare ilmessaggio.Inviare segnalazioni alla Polizia di Stato è di dubbia utilità: laPolizia sarà già sommersa di segnalazioni identiche e avrà anche il suo bel daffare a filtrare i messaggi di protesta causati dal fatto chesembra essere il mittente apparente del messaggio-trappola.