NEWS SECURITY

SECURITY
News trovata in rete

Phishing e Pharming
i gemelli terribili
Si parla molto e male del primo,
mentre il secondo è assai più cattivo.

10-03-2007

Da sempre i gemelli si assomigliano talmente da venir spesso scambiati l'uno per l'altro. Mentre il phishing consiste nell'ottenere dalle persone dati sensibili in modo fraudolento, cioè spacciandosi per altri o comunque assumendo identità non propria con tecnica definita di "social engineering", il pharming consiste invece nel reindirizzare la richiesta di connessione a un sito web, verso un altro sito web in grado di catturare dati personali del navigatore e di costringerlo ad aprire siti diversi da quello voluto, proponendo ad esempio porno, di e-commerce, online banking e via dicendo.

Il primo gemello con un poco di attenzione può facilmente essere messo nell'angolo, mentre il secondo è assai più sfuggente anche perché firewall, spyware e antivirus non sono cancelletti in grado di impedirgli l'accesso al nostro Pc, proprio per la tecnica stessa con cui vengono "risolti" gli indirizzi Internet da parte dei server DNS.

Tuttavia, a scorrere un blog della Symantec, pare che il professor Markus Jakobsson dell'Università dell'Indiana e Symantec stessa abbiano studiato un rimedio abbastanza semplice e che costa solo... un "grazie", visto che non occorre acquistare pesantissimi (in termini di impegno finanziario e di risorse hardware) antivirus.

Per chi conosce a sufficienza l'angloamericano, una divertente (e ben fatta) animazione è disponibile qui.

Per chi invece non ha voglia di cimentarsi, riassumiamo di seguito le raccomandazioni, ad uso specialmente di chi usa firewall in tecnologia wireless:

- Cambiare la password predefinita del firewall. Pare impossibile, ma sembra che circa il 50% degli utilizzatori non la modifichi mai o non la sappia modificare, anche se basta googlare un po' per averle senza fatica;

- Non aprire siti web che non si conoscono e meno che mai cliccare su collegamenti email ivi contenuti anche se apparentemente richiamano indirizzi a noi familiari;

- Non abilitare javascript di default sul proprio browser; piccolo fastidio, visto che quasi tutti i siti lo richiedono, è abilitarli di volta in volta quando proprio siano necessari per andare avanti nella consultazione.

Dopo le minacce avvocatizie, tante e sotto le più svariate forme, ecco adesso come infettare il proprio pc abboccando ad un presunto verbale di P.M. non pagato
( a Nortek di SiFaMusica Forum)

...da notare che un addetto ai lavori come me, care ragazze, vi può garantire che un Verbale di contravvenzione del 4.12.06 (data riportata nella mail trappola) non può essere certamente oggetto di interessi in quanto, considerati i tempi necessari per la sua scrittura, potrebbe forse essere appena stato notificato al trasgressore. Aggiungendo poi i 60gg di tempo che la legge concede per pagarlo, alla data di oggi (Marzo) nessun interesse potrebbe essere già decorso!!!!!

Alla fine della mail, ci sarebbe un link da cliccare dove poter visualizzare la situazione relativa al fantomatico verbale,..... e lì scatta la fregatura!!!!
Ricordate sempre che qualsiasi atto può essere comunicato, ai fini di valore legale, solo ed esclusivamente a mezzo raccomandata dove la nostra firma di ricevimento ne garantisce l'avvenuta notifica!!!
__________________________________________________________________

Circola anche un altro tentativo di infezione via e-mail, che fa leva sull'autorevolezza apparente del mittente:

----- inizio citazione -------

From: Servizio Riscossioni
Date: December 30, 1955 4:00:00 AM CET
To: [indirizzo della vittima]
Subject: Avviso di sanzione per interessi su insoluto Verbale P.M.
N. 326123-1 del 4.12.2006

Avviso di sanzione per interessi su insoluto Verbale P.M. N.
326123-1 del 4.12.2006

A: [indirizzo della vittima]
Data: 4.12.2006
Oggetto: Verbale P.M. N. 326123-1 del 4.12.2006

La presente per informarLa che la somma di € 2.623,44 dovuta alla nostra società e scaduti in data 10.11.2006 i termini come da nostra informativa precedente e visti maturazione interessi pari al 18,6% per la sua pratica N. 326123-1 sono soggetti a sanzione e decreto ingiuntivo se non corrisposti entro la data 20.12.2006

Maggiori dettagli

Certi di una sua celere risposta la invitiamo a visualizzare i dettagli della sanzione attraverso il nostro servizio automatico (link omesso)

Come agire

Al fine di chiarire la sua posizione qualora non corrispondano le suddette somme a contattare il nostro servizio riscossione crediti.

Cordiali saluti

Avv. Cons. Dpe Giordano Lanza

Una variante dello "Storm worm" infetta forum e blog


Aveva preso a diffondersi sfruttando la drammaticità degli eventi determinatisi nei Paesi nordeuropei dopo l'arrivo, a fine Gennaio scorso, dell'uragano battezzato "Kyrill". Mediante l'utilizzo di tecniche di ingegeneria sociale, gli autori dello "Storm worm" tentavano di indurre l'utente all'apertura dei file nocivi allegati al messaggio di posta elettronica.
Cominciarono successivamente a prender piede diverse varianti del worm (alcune di esse utilizzavano anche i client di messaggistica istantanea come mezzo per la propria diffusione) fino a quella da poco scoperta e catalogata dai vari produttori di soluzioni antivirus come "MeSpam" o "Cimuz".
Il malware è particolarmente pericoloso perché è in grado di installarsi sul sistema sotto forma di LSP ("Layered Service Provider"). Come un parassita, "MeSpam" può quindi intercettare ed analizzare tutto il traffico di rete intervenendo attivamente sui pacchetti in uscita. Il malware, ad esempio, può aggiungere del contenuto nocivo ad un messaggio che l'utente è in procinto di pubblicare su forum e blog online.
"MeSpam" rileva se l'utente stia partecipando ad una discussione su un forum vBulletin o phpBB ed aggiunge, agendo a basso livello, link ad oggetti pericolosi. Il worm può anche modificare i testi di messaggi di posta elettronica inviati da web tramite i servizi GMail, Yahoo Mail, AOL e simili.
Facendo una ricerca mediante il motore di ricerca Google abbiamo verificato come già siano centinaia e centinaia i link aggiunti da "MeSpam" nei vari forum e blog a livello mondiale.
Lo zampino del malware è facilmente riconoscibile per la presenza di un testo, in calce al messaggio, simile ai seguenti:
LOL! You must see this! /[postcards_domain]
Dont forget to see /[postcards_domain]
lol, look /[postcards_domain]
have you seen this? /[postcards_domain]
LOOL!!! /[postcards_domain]
just look /[postcards_domain]
:-) /[postcards_domain]
I link non debbono essere visitati per alcun motivo.
Per tutti i dettagli sulle tecniche utilizzate dai malware per diffondersi ed insediarsi sul sistema, vi consigliamo la lettura di questi articoli.
Facendo riferimento a questa pagina, è possibile visionare l'analisi di "MeSpam" pubblicata da Symantec.

Per la rimozione della minaccia, Symantec suggerisce di disabilitare temporaneamente la funzionalità "Ripristino configurazione di sistema" di Windows, aggiornare le definizioni antivirus, effettuare una scansione approfondita del sistema. Qualora il software antivirus dovesse informare l'utente circa l'impossibilità di eliminare alcuni file perché in uso, si dovrà avviare la scansione completa servendosi della "modalità provvisoria". Al riavvio del sistema è possibile che vengano visualizzati messaggi d'errore facenti riferimento a file non più presenti: è possibile ignorare per il momento i vari messaggi d'allerta.
Symantec consiglia quindi l'eliminazione della seguente chiave dal registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\WinSock2\Buibert quindi la reinstallazione del protocollo TCP/IP (Pannello di controllo, Connessioni di rete, Connessione alla rete locale LAN, finestra Proprietà, Installa, Protocollo, Aggiungi..., Disco driver..., portarsi all'interno della cartella %Windir%\inf, selezionare il Protocollo Internet TCP/IP, confermare premendo il pulsante OK quindi riavviare il computer).

E' possibile verificare la presenza di LSP maligni con il software "HijackThis". Questa utilità inserisce le minacce LSP nel gruppo O10 ma è altamente sconsigliabile premere il pulsante Fix checked: si causerebbero problemi di instabilità all'intero sistema. Per rimuovere questi componenti maligni è possibile servirsi dell'ultima versione di SpyBot disponibile, assicurandosi di aggiornarla tramite la funzione Cerca aggiornamenti, Scarica aggiornamenti integrata nel software. In alternativa, è possibile usare il programma LSPfix, distribuito da Cexx.org.

News del 24-3-07 trovata in rete

L'angolo dei cattivi

Site Advisor ha stilato una classifica dei paesi a rischio di malware, dalle isole di Tokelau in poi.


Secondo McAfee, i siti non offrono la medesima ricorrenza di minacce a causa di virus o spyware ma, sulla base statistica delle ricorrenze riscontrabili nelle estensioni dei nomi, il navigatore non correrebbe alcun rischio sui siti istituzionali (.gov) mentre altri presentano percentuali di rischio anche molto alte.

Ad esempio, chi naviga in siti con estensione .tk, che contraddistingue l'arcipelago di Tokelau, un insieme di atolli corallini a nord di Samoa, sulla carta viaggia in acque pericolose (rischio stimato oltre il 10%) mentre calma piatta offrono gli stati nordeuropei con percentuali di rischio poco sopra lo zero.

Nel mezzo, quanto già si sospettava: Romania e Russia che viaggiano attorno al 5% mentre Italia e Francia sorprendentemente si tengono su livelli medio-bassi con l'1 e rotti per cento; sarà colpa della scarsa informatizzazione anche a livello universitario.

Stranamente bassa anche la percentuale accreditata a Israele (.il) che con soltanto lo 0,5% viene classificato assai più virtuoso degli USA, anche se stimiamo che sia solo più bravo a nascondersi; infatti un tempo come patria dei virus non era inferiore a nessuno.

Nell'insieme, altra sorpresa nel rilevare come l'abusata estensione .com sia meno mal frequentata di .info; o forse no, visto che i "confezionatori di pacchi" ben sanno come proprio i meno informati siano poi quelli che più incoscientemente rendono disponibili a chiunque i propri dati personali.

Violato il sito di Monster con un trojan ad hoc
Hacker in cerca di "lavoro" fanno incetta di dati personali nel popolare sito di e-recruitment.

Security

News 22-08-2007

Il sito di e-recruitment MonsterMonster è stato preso di mira da alcuni spammer, che hanno ottenuto qualcosa come un milione e seicentomila nomi, indirizzi email e numeri di telefono degli utenti.

E' iniziato tutto con una campagna di phishing avente come target gli utenti di Monster. Gli spammer, spacciandosi per Monster e mettendo online un sito fasullo, hanno inviato un'email contentente l'invito a scaricare un nuovo software per la ricerca di lavoro, che in realtà era un trojan.

Il trojan, battezzato Infostealer.Monstres, era appositamente appositamente studiato per carpire agli utenti i dati di accesso al popolare sito di recruitment online. Gli utenti che hanno scaricato e installato questo file hanno automaticamente fornito agli spammer username e password per accedere legittimamente al sito di Monster. Una volta entrati nel sito, per i truffatori è stato facile fare incetta di dati personali di altri utenti.

"Quello di cui stiamo parlando non è un attacco diretto al nostro sito" ha detto Patrick Manzo, vice presidente della sezione Sicurezza e prevenzioni frodi di Monster. "Chiamiamo queste persone con il loro nome, ossia dei criminali: criminali che hanno ottenuto i dati di accesso dei nostri utenti, probabilmente da loro medesimi".

Manzo ha tenuto a precisare che la fuga di informazioni non ha evidenziato buchi nel sistema di Monster, visto che gli hacker entravano tramite username e password legittimi. Tuttavia Monster rivedrà il proprio sistema di sicurezza e sta già allertando gli utenti a essere più vigili nel fornire informazioni personali a sconosciuti.

Un altro effetto del worm installato sui Pc degli utenti è di criptare sui loro PC le cartelle contenenti foto e musica, chiedendo agli utenti un "riscatto" di 150 dollari per poter accedere nuovamente ai file: una forma di attacco particolarmente odiosa.

Il primo a segnalare il worm è stato Amada Hidalgo di Symantec, che nei giorni scorsi ha scritto un articolo sul blog aziendale, informando di quanto stava succedendo. "Un database così ampio di dati personali è il sogno di ogni spammer" ha dichiarato Hidalgo. Finora comunque non sono stati segnalati casi di furto di identità, ossia di utilizzo illecito dei dati personali ottenuti.

Dave Cole di Symantec ha precisato che non si era mai visto prima un attacco del genere indirizzato ai siti di e-recruitment. "I truffatori si stanno indirizzando verso terreni fruttiferi: in passato non era questo il tipo di informazioni che veniva rubato".

Silvia Zanella, responsabile dell'ufficio comunicazione di Monster Italia, ha dichiarato che gli utenti italiani possono stare tranquilli in quanto il problema ha riguardato solo gli Stati Uniti. "Non abbiamo ricevuto segnalazioni di furti di dati personali dei nostri utenti in Italia, né in tutta Europa: il fenomeno pare circoscritto al solo sito statunitense. La privacy degli utenti italiani di Monster è salvaguardata".

Chi si fida di Net-Jokes
Un piccolo esempio di spam malizioso, tratto da una serie infinita.

Security

News 22-08-2007

Circola in queste ore l'ennesimo spam travestito da servizio, che tenta di carpire l'attenzione, la curiosità e la fiducia del ricevente. Il mittente si presenta come Net-Jokes; l'email che appare nell'intestazione del messaggio è arusa.kocevar@fmal.fujitsu.com.

Stavolta l'utente, magari distratto dal generale clima vacanziero, è indotto a ritenere di aver richiesto l'attivazione di un account e di essersene dimenticato, come spesso accade, e viene invitato a visitare un certo sito, il che pare aver a che fare con la "registrazione" necessaria.

Raccomandiamo di non visitare il sito nel testo che segue e di non installare l'applet indicata. Ecco l'email della quale diffidare:


Welcome Member,
Welcome To Net-Jokes.
Confirmation Number: 8455119482473
Login ID: user8241
Your Temp. Password ID: ui683
Be Secure. Change your Login ID and Password. Click here to enter our secure server: 86.130.251.199/
Welcome,
Membership Services
Net-Jokes
Il link porta a una pagina web alla quale si legge un invito a installare l'applet Secure Login.

L'Url dell'applet in questione è 86.130.251.199/applet.exe. Ci siamo ben guardati dall'installarla e questo è il consiglio che vi diamo.

New Security reperita nel web
pertanto il copyright e del rispettivo autore


Il trojan che compila i Captcha

In realtà a riempire i moduli è l'utente infetto, attirato dal miraggio di uno strip-tease di una ragazza provocante.

News 20-11-2007

Ai virus-writer non manca di certo l'inventiva e una buona dose del senso d'umorismo. Lo hanno dimostrato gli sviluppatori di un nuovo trojan, segnalato dai specialisti di Trend Micro. Chiamato Troj_Captchar.A è stato creato per aggirare un diffuso sistema di protezione dalle registrazioni automatiche.

La maggioranza dei server usano una serie casuale di numeri e lettere volutamente distorti od offuscati, per assicurarsi che la registrazione sia effettuata da un uomo e non un computer, o più precisamente un bot.

Di regola solamente l'uomo è in grado di leggere tali simboli e inserirli nel campo corrispondente nella pagina di registrazione. E' una versione più moderna del test di Turing per distinguere computer e umani, chiamata più semplicemente Captcha (Completely Automatic Public Turing test to tell Computers and Humans Apart).

Il trojan Captchar.A viene scaricato dalla rete da altri trojan o worm già presenti nel sistema Windows e una volta installato si connette a un server remoto. Quando dal server vengono inviati gli immagini Captcha da decifrare, il trojan attiva il suo gioco.

L'utente vede sul suo schermo l'immagine di una ragazza in una posa provocante e un invito ad assistere al strip-tease. Inserendo il giusto codice Captcha, la ragazza riappare con meno vestiti addosso e così via.

Nel frattempo i dati vengono inviati al server per essere usati per la registrazione automatica delle caselle email. Per il momento non vengono segnalate altre funzioni di questo trojan, e il database di Trend Micro Antivirus è già aggiornato.

New Security reperita nel web
pertanto il copyright e del rispettivo autore

Un trojan nei Pdf

Pidief.A sfrutta le vulnerabilità di Adobe Reader e Acrobat per controllare i sistemi colpiti.

News 20-11-2007

Si sta diffondendo il trojan Pidief.A, che sfrutta le vulnerabilità di Adobe Reader e Acrobat per controllare i sistemi colpiti. Le email indesiderate (spam) vengono utilizzate come meccanismo di diffusione di questo attacco. I sistemi infetti vengono compromessi dagli utenti che eseguono il file Pdf allegato alle email di spam.

A lanciare l'allarme è Norman, che spiega il funzionamento del trojan. Il programma maligno sfrutta le vulnerabilità nei programmi Adobe per disattivare il firewall personale di Microsoft e avviare il download del trojan da Internet. Questo trojan potrebbe consentire agli aggressori di prendere il controllo dei sistemi colpiti.

Lo spam "nocivo" si riconosce per avere come oggetto INVOICE alacrity, INVOICE depredate o STATEMET indigene. Gli allegati hanno come nome file BILL.pdf, INVOICE.pdf, YOUR_BILL.pdf e STATEMET.pdf.

Gli aggiornamenti di Adobe per queste vulnerabilità sono disponibili sul sito web di Adobe.

New Security reperita nel web
pertanto il copyright e del rispettivo autore


Maxtor, hard disk con virus
Alcuni modelli della serie Personal Storage 3200 sono stati venduti con all'interno un virus che minaccia i giocatori di World of Worcraft.

News 21-11-2007

Non è un periodo fortunato per i clienti di Seagate: dopo i difetti negli hard disk dei MacBook, i Kaspersky Labs hanno segnalato la presenza di un virus in alcuni prodotti.

A essere incriminati sono i dischi esterni della serie Maxtor Basics Personal Storage 3200, come si legge nel comunicato ufficiale rilasciato da Seagate.

In particolare, alcune unità prodotte in Cina e messe sul mercato a partire dall'agosto scorso ospitano il virus Win32.AutoRun.ah, il quale cerca le password per i giochi online e le invia a un server cinese. In aggiunta, il virus disattiva altri malware analoghi e tenta di mettere fuori gioco eventuali software antivirus presenti nel sistema.

I giochi interessati sono tutti cinesi, meno una notevole eccezione: World of Wordcraft. Gli altri sono WSGame, 91.com,QQ, Woool, rxjh.17game.com, TianLongBaBu, AskTao e Perfect World (Wanmei Shijie).

Se si possiede un antivirus aggiornato, questi rileverà l'intruso e l'eliminerà. Qualora tuttavia si sia in dubbio e ci si chieda se la propria unità possa essere una di quelle infette o meno, è possibile contattare il servizio di assistenza clienti e comunicare il numero di serie del drive.

Seagate assicura che le nuove unità sono ora prive di virus e, pertanto, i nuovi acquirenti possono stare tranquilli.

New Security reperita nel web
pertanto il copyright e del rispettivo autore


Si diffonde un malware per Mac OS X

Il trojan RsPlug chiede di installare plugin, inserire password di amministrazione e concedere i diritti di amministrazione. Eppure a cascarci sono in molti.

News 21-11-2007

Gli esperti di sicurezza hanno scoperto di recente un nuovo trojan sviluppato appositamente per il famoso sistema operativo Mac OS X. Denominato RsPlug, si trasmette principalmente attraverso i siti web porno.

Le funzionalità di questo trojan sono semplici: redirezionare i dati diretti verso i siti quali eBay, PayPal e altri di carattere finanziario, ai siti di phishing, oppure contenenti le pubblicità porno.

Il metodo di installazione non si può di certo definire facile: durante il tentativo di visualizzare un filmato su uno dei siti infetti, l'utente si trova reindirizzato su una pagina contenente l'avviso della necessità di installare un plugin per il lettore multimediale Quick Time. Accettando, parte il download di un file con l'estensione Dmg. Una volta installata, l'applicazione cambia i Dns del proprio Mac, esponendo così la macchina alle minacce.

Il particolare sta nel fatto che per installare il trojan l'utente dovrebbe compiere una quantità di varie azioni per essere pronto a crearsi danni, tra cui anche quella di inserire la password di amministratore e i privilegi di root. Ma nonostante tutto i creatori di virus per Mac non si scoraggiano e continuano a modificare e migliorare i codici.

Gli specialisti di F-Secure hanno individuato altri varianti di RsPlug che non sono ancora riconosciute dagli antivirus. I siti che trasmettono il codice nocivo si contano già a migliaia.

New Security reperita nel web
pertanto il copyright e del rispettivo autore

Il gatto malandrino che semina virulenza

Un simpatico micetto diffonde un virus per email, spacciandolo per una super-risata.

News 21-10-2007

Si chiama Zhelatin.KI e si diffonde per mezzo di un messaggio senza allegati che arriva nel mailbox con l'invito a cliccare su di un indirizzo IP accompagnato dalla scritta "View your Kitty Card now" cioè più o meno "guarda la foto del tuo gattone".

L'indirizzo IP apparentemente conduce al sito SuperLaugh.com dove si vede un gatto che crepa dalle risate; ma se l'incauto clicca sul link contenuto nella pagina, scarica l'eseguibile SuperLaugh.exe che contiene il virus.

Per prima cosa cercherà di disattivare tutti i programmi di sicurezza che sarà in grado di trovare, per aprire subito dopo una backdoor che permette di prendere il controllo della macchina a un utente remoto.

La trovata è abbastanza ingenua e non dovrebbe fare danni quanto meno tra i lettori di Zeus News che sono sufficientemente smaliziati; caso mai il pericolo è in agguato in un momento di noia o di disattenzione, oppure se hanno accesso alla macchina persone meno avvertite come ad esempio i bambini.

Vale per tutti il solito consiglio e cioè di non aprire mai le email che arrivano da sconosciuti; al limite usare uno dei tanti programmi che permettono di vederne un'anteprima ancora sul mailserver o cancellarle direttamente senza leggerle.

New Security reperita nel web
pertanto il copyright e del rispettivo autore


Fiorella e il malware a luci rosse

21 Novembre 2007 ore 13:17

Molti italiani si sono visti ultimamente recapitare nella propria casella di posta elettronica un messaggio particolare, il quale invita a visualizzare il video a luci rosse 'de Fiorella'. Si tratta di un escamotage per infettare i computer con un malware.
Le caselle di posta elettronica di molti italiani sono state ultimamente invase da una mail molto particolare firmata da Gianni A. Perutti, il quale invita molto esplicitamente a scaricare un filmato al cui interno vengono rappresentate le gesta espressamente erotiche di una fantomatica ragazza chiamata Fiorella. Il link proposto non presenta però lo stuzzicante video, ma cerca invece di infettare i computer dei più curiosi con un malware.
Il testo integrale della mail è il seguente:

Oggetto: Ecco quel che ti ho promesso

«Ciao Ragazzi, non mi sono scordato della promessa di Sabato sera… Ecco il video de Fiorella! Non mi importa se lo scopre, visto che lei non ha avuto nessun problema a scoparsi 7 uomini assieme. Quindi se volete farlo girare no problem ok? [segue link] Ciao a presto! Gianni A. Perutti»

Come illustrato chiaramente all'interno di un post pubblicato su "PC al Sicuro”, il file coso.asx a cui punta il link provoca l'esecuzione di Windows Media Player, chiaro segnale per l'utente dell'imminente visualizzazione del filmato. Al posto delle immagini di Fiorella apparirà però un messaggio ad indicare la mancanza nel sistema del codec video necessario a visualizzare il filmato richiesto. Nel caso si decidesse nel proseguire con l'installazione di quest'ultimo, verrà scaricato nel sistema un file astutamente chiamato "codec_8-2.exe". Non si tratta però di un vero codec, ma di un malware camuffato, il quale provvederà ad installare nella directory di sistema di Windows un Browser Helper Object denominato wbspark.dll.
Sono ancora pochi i programmi in grado di identificare il Browser Helper Object; Prevx ad esempio lo riconosce come Adware.BHO.gen. Il dropper incaricato di installare il malware invece è più largamente riconosciuto dai principali antivirus in commercio.
Viene quindi caldamente sconsigliata la navigazione sul server freemoviepro.com (210.14.129.3), ricco di sottodomini ricollegabili allo stesso falso codec.

Dì la tua: commenta la notizia

Re: Virus Sample

Nel messaggio riporta questo testo:

The sample file you sent contains a new virus version of mydoom.j.
Please clean your system with the attached signature.

in allegato c'è il file DATFILES.ZIP spacciato per un cleaner.

Non aprite assolutamente l'allegato è un virus.
Eliminate immediatamente il messaggio se eventualmente lo ricevete.

Questa email gira dal mese di Aprile ed e' lunga 41K, non e' quindi una novita' di ora, ma comunque si vede che qualcuno e' ancora infetto e si sta riproponendo. Il virus contenuto è l'ormai notissimo Netsky che tutti gli antivirus dovrebbero immediatamente rilevare.