Una email abusa del nome Microsoft per spingere gli utenti a scaricare una nuova versione del browser. Il link porta però ad un worm che, una volta attivato, non si presta ad una facile distruzione.

La maggior parte degli utenti Internet ha ormai imparato a diffidare delle email non sollecitate, ma per i meno esperti talvolta non è facile distinguere i contenuti "buoni" da quelli "cattivi". È il caso di un recente messaggio di posta elettronica segnalato da Sophos che tenta di mascherare il worm Grum-A da setup di Internet Explorer 7.

Il messaggio truffaldino, che all'apparenza sembra provenire dall'indirizzo admin@microsoft.com, ha come oggetto "Internet Explorer 7 Downloads" e contiene un'immagine con il logo originale di Internet Explorer che invita gli utenti a scaricare la beta di una nuova versione di IE7. In realtà il link fornito nel messaggio punta ad un file eseguibile contenente il worm.

Una volta che il sistema è stato infettato da Grum-A, ripristinarne lo stato originario potrebbe non essere compito facile: come molti altri worm il codicillo apporta numerosi cambiamenti a Windows, quali modifiche al registro e al file hosts, e tenta persino di modificare i file di sistema ntdll.dll e kernel32.dll. In aggiunta a questo, Grum-A è anche in grado di "appendersi" ai file ".exe" il cui percorso si trovi nella chiave Run del registro di Windows.

Un'approfondita descrizione del fake è stata pubblicata qui dal delfinsblog.it.

Fonte: Punto-informatico
pubblicati secondo la licenza di utilizzo di Creative Commons