Figuratevi questa scena: arriva una e-mail (evidentemente fasulla) da un conoscente, dove, con una filippica in perfetto italiano segno che l’autore è un compatriota, ci viene spiegato come ha scoperto di avere un virus terribile, potentissimo e ovviamente sconosciuto che si trasmette per la chat di facebook, per collegamenti diretti (?) e perfino nascosto in mp3 e jpg (ENORME bufala) ed è stato in contatto con Symantec per alcuni giorni e che assieme (?) hanno debellato l’infezione e a giorni sarebbe stato rilasciato un tool che pulisce dal trojan in questione al pubblico.
Di questo fantasmagorico tool ovviamente ci fà omaggio in privato allegandolo all’e-mail.
Una persona con un minimo di pelo sullo stomco si insospettisce, voi che dite ?
Il tool di cui allegato all’email alla fine si rivela un vero tool che cerca un trojan, ma di un tipo straconosciuto vecchio di 5 anni, che nel contempo si spacchetta un pò di cose in una cartella temporanea, e con dei programmi che si è portato da casa, si colleziona tutte le password possibili da Thunderbird, Firefox, Explorer, Chrome etc etc, le impacchetta in un file .rar, le uppa su un ftp e infine cancella ogni traccia, anzi, QUASI ogni traccia, perchè lo script non è perfetto…
Due problemi: i tool di collezione password un antivirus appena decente li vaporizza prima che tocchino il disco fisso, inoltre user e password di accesso all’ftp brillano in bella mostra dentro un batch in chiaro, camuffato grezzamente in .DLL.
Ma come la vedete voi una dll di 60 bytes ? Poco plausibile vero ?
La prima cosa che verrebbe da fare a me, poi ogniuno la vede come vuole, sarebbe cambiare la password del sito ftp, per esempio se il sito in questione fosse su altervista dove si usano le stesse password per l’account di gestione e per l’ftp sarebbe banale cambiare le password di accesso almeno cosi questo rozzo script viene reso immediatamente inoffensivo, poi vediamo con calma, venerdi sera al bar parlerei di questo fatto con un amico avvocato al quale chiederei se e come sporgere denuncia alla PolPost, se non ricordo per cose di questo genere sono previsti un paio d’anni di galera.
Il sito ftp lo lasciamo intatto, è bene che rimanga dov’è quando la Polizia Postale farà le debite indagini, così il legittimo padrone può riprendersi l’account quando vuole, usando il recupero password, che volutamente lasciamo al suo posto, giusto per fargli capire che lo hanno sgamato, tanto la vecchia password non la rimette, noi siamo in agguato, vero ?
Ciliegina sulla torta, facendo una piccola ricerca magari potremmo anche trovare una richiesta sul forum di help-desk del provider, quell’altervista di esempio, dove qualcuno chiede come fare uno script per fare upload in automatico sul loro ftp, toh, guarda caso, proprio di quel sito, e qui pensi: “Vai, giovane uomo, Gesù ti ama…”
