Alessandro Zanello

Se con Outlook si riceve un messaggio di errore tentando di aprire un allegato i motivi possono essere vari.

Uno di questi può essere che la cartella dei file temporanei in cui Outlook apre gli allegati non è vuota come dovrebbe essere e magari contiene migliaia di file; si può svuotarla a mano o cancellarla (viene ricreata automaticamente) per risolvere questo problema.

Per sapere qual’è bisogna cercarla con Regedit in una di queste possibili posizioni a seconda della versione di Outlook:

Outlook 2000: HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Security
Outlook 2002/XP: KEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Security
Outlook 2003: HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Security
Outlook 2007: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Security
Outlook 2010: HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security\OutlookSecureTempFolder
continua »

Cominciano ad arrivare anche attraverso finti avvisi di LinkedIn i tentativi di far visitare ai disattenti siti malevoli.
Attenzione ai link contenuti nel messaggio, diversi da quanto mostrato; di solito basta esaminare il sorgente del messaggio per scoprire che il tag href porta a tutt’altro URL.

Stanno arrivando in questi giorni sedicenti email fasulle da spedizionieri come UPS e DHL.

Queste email hanno come allegato un file zip contenente un trojan che scarica nascostamente un finto antivirus (Win 7 Anti-Spyware 2011 oppure Win 7 Anti-Virus 2011) che troverà decine di infezioni sul vostro PC e cercherà di convincervi a inserire i dati della vostra carta di credito per registrare l’antivirus ed eliminarle.

Verranno nascostamente effettuate connessioni ai server SMTP di Yahoo, AOL, Gmail, GMX e ad indirizzi IP localizzati in Ucraina e Gran Bretagna, prevedibilmente con l ‘intento di inviare dati privati rubati dal vostro PC.

Inutile precisare che l’unica cosa ad essere eliminata sarà il saldo positivo del vostro conto corrente.

Le email arrivano anche ma non solo da questi indirizzi:

ioprt14@dhl.com
supportmip11@dhl.com
postmail-usid.3949@greensboro.com
dhltrak11@dhl.com
dhltraki1@dhl.com
postmail-usa.8273@omaha.com
infojs@ups.com
adsupport3@ups.com
dfsupports1@ups.com
adminsuppo2@dhl.com
infoad2@ups.com
infoad22@ups.com
postmail-int69136@durham.com

Gli allegati possono avere nome:

Post_Express_Label_No.30845.zip
UPS-document.zip
UPS notification.zip
United Parcel Service Notification Letter.zip
United Parcel Service document.zip
UPSnotify.rar
Post_Express_Label_SER.71816.zip
tracking.zip
Post_Express_Label_VID99184.zip
document.zip
DHL_documents.zip

Il testo inizialmente era del tipo:

“Dear customer. The parcel was send your home address. And it will arrice within 7 bussness day. More information and the tracking number are attached in document below.”

in cui si leggono svariati errori; tuttavia gli errori stanno sparendo negli ultimi messaggi, a significare che la truffa funziona e viene raffinata, per cui ci sarà da stare attenti anche per il futuro.

Ogni volta che si scarica un file da Internet questo riceve una marcatura da Windows che lo identifica come file scaricato e potenzialmente pericoloso. Così Windows può avvisare ogni volta che si tenta di lanciare il file,  fatto che può rappresentare un rischio. Il punto sta proprio in quelle due parole – ogni volta. Se il file scaricato è un eseguibile che non necessita di setup il tutto diventa parecchio noioso, specie se siamo sotto Vista o 7, che richiedono anche diritti amministrativi, perché in quel caso l’interruzione è doppia, una volta per la provenienza ignota ed una volta per il solito UAC.

Per risolvere il problema occorre modificare le seguenti chiavi del registro, sotto HKEY_LOCAL_MACHINE per far sì che la modifica tocchi ogni utente oppure sotto HKEY_CURRENT_USER per applicare la modifica solo a sé stessi.

Queste sono le modifiche da fare.

Prima la stringa:  Software\Microsoft\Internet Explorer\Download (se non esiste createla) cui va assegnato il valore “No” e poi un valore dword di nome RunInvalidSignatures da impostare a 1.

Andate poi alla chiave:

Software\Microsoft\Windows\CurrentVersion\Policies\Attachments

e create un valore dword chiamato SaveZoneInformation – impostatelo a 1

Infine andate alla chiave: Software\Microsoft\Windows\CurrentVersion\Policies\Associations

e create una stringa chiamata LowRiskFileTypes – riempitela con le estensioni per cui non volete l’avviso di sicurezza, separate da “;” come in:

.txt;.nfo;.zip;.rar;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;

Come al solito occorre ricordare che manipolare il Registro è pericoloso e va fatto solo se ci si sente in grado di rimediare ad eventuali errori e che disabilitare le opzioni di sicurezza di Windows può avere ricadute negative.

A volte per registrarsi su un sito web si viene richiesti di fornire un indirizzo email. Se sapete che non ci tornerete più e la cosa ha solo un uso immediato, potete usare un indirizzo una tantum, del tipo di quelli forniti da Mailinator. Non occorre registrarsi per fruire del servizio, basta inviare un’email ad un qualsiasi indirizzo inventato per l’occasione, tipo 3egr9owp_2@mailinator.com e quindi visitare il sito di Mailinator per raccogliere la posta. I conti di Mailinator non offrono alcuna privacy e quindi non usateli per nulla di privato, ma offrono il vantaggio che si prendono l’eventuale spam che ricevereste voi.

continua »

Tizer™ Rootkit Razor è uno strumento gratuito in grado di rimuovere oggetti malevoli dal vostro computer. Com’è noto, i rootkit si sono evoluti da una forma di protezione dei CD musicali a nuovi strumenti di penetrazione e sono molto difficili da rilevare ed eliminare, tanto che conviene comunque cominciare sempre dal rimuovere il disco sospettato e connetterlo a diverso PC come disco esterno se si vuole avere qualche chance.

Tizer Secure™ Rootkit Razor è in grado di riconoscere ed eliminare molti rootkit; è compatibile con Windows 7, è gratuito per uso personale e più efficace di alcuni prodotti commerciali.

Si chiama “tabnabbing” ed è una nuova forma di phishing che si sta diffondendo sul Web, come spiega Aza Raskin, creative lead di Firefox, qui e come si vede qui:

A New Type of Phishing Attack from Aza Raskin on Vimeo.

Questo tipo di attacco sfrutta l’abitudine degli utenti di aprire più schede (tabs) all’interno del browser durante la normale navigazione per consultarle poi una ad una. Funziona così.

Mentre si è impegnati a visualizzare il contenuto di una scheda, se su una delle altre non ancora esaminate è aperto un sito infetto contenente uno script maligno, questo riconosce che la pagina non ha il focus ed è inattiva da un certo tempo, quindi ridirige la pagina aperta su un sito creato ad hoc e del tutto simile ad uno molto noto (ad esempio quello della vostra banca o della Webmail del vostro provider, di Facebook o Twitter), completando il trucco anche con la sostituzione sulla scheda dell’icona del sito lecito.

Quando l’utente vede l’icona del sito noto su quella scheda pensa di averla aperta lui e, visitandola, si trova davanti una pagina familiare, che gli chiede le credenziali;  inserisce quindi i propri dati di autenticazione senza controllare a fondo. Lo script truffaldino memorizza le credenziali e porta l’utente ignaro sulla pagina vera, autenticandovelo realmente.

In tal modo l’utente nemmeno percepisce o sospetta di essere stato derubato del proprio account.

L’attacco può essere perfezionato e personalizzato utilizzando la cronologia memorizzata nel browser, portando a veri capolavori di social engineering nel campo della truffa.