Un avviso della Polizia di Stato in mail? Attenzione

Numerose le mail giunte in redazione per avere informazioni sulla fondatezza o meno di una mail circolante in rete in questi giorni, nella quale un fantomatico agente di Polizia di nome Prisco Mazzi invita il destinatario ad aprire un allegato con un fascicolo che lo riguarderebbe. Subdole e convincenti le parole utilizzate, in quanto viene premesso come il destinatario sia stato indicato dal proprio provider come uno dei molti utenti attivi nello scambio di file mp3 protetti dal diritto d'autore.

Subdole e convincenti abbiamo detto, in quanto si tratta di una pratica molto diffusa e per la quale ci si potrebbe anche sentire legittimamente tirati in causa. Un dubbio che potrebbe portare ad aprire l'allegato immediatamente, se non si fosse dedicata troppa attenzione al testo. E' facile infatti notare un linguaggio pieno di errori e mancanze tipici da traduttore automatico, così come manca qualsiasi altra generalità dell'ipotetico agente o informazioni circa l'indirizzo della caserma e altro ancora.

Vi è in ogni caso una buona probabilità che, sull'onda emotiva che può conseguire alla lettura di una simile mail, l'utente possa cadere nell'inganno. Riportiamo di seguito il testo integrale.

"Avviso
Sono capitano della polizia Prisco Mazzi. I rusultati dell.ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d.autore e sono stati
scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilita amministrativa.

Il suo numero nel nostro registro e 00098361420.

Non si puo essere errore, abbiamo confrontato l.ora dell.entrata al sito nel registro del server e l.ora del Suo collegamento al Suo provider. Come e l.unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d.autore.

Per questo per favore conservate l.archivio (avviso_98361420.zip parola d’accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l.accordo che si trova dentro.

La vostra parola d’accesso personale per l’archivio: 1605

E obbligatorio.

Grazie per la collaborazione. "

Siamo ovviamente di fronte ad una nuova veste per far approdare un trojan fra i file del nostro computer. L’e-mail contiene un allegato protetto da password, "avviso_98361420.zip" che, se decompresso, porta alla luce un altro file, "UFFICIALMENTE_ACCORDO.exe". Siamo di fronte ad un Trojan.Downloader che scarica immediatamente un dialer, denominato msupdate.exe. Ulteriori informazioni sono disponibili su PC al sicuro a questo indirizzo, nel quale vengono spiegati in maniera più esaustiva i meccanismi di funzionamento.

La rimozione può avvenire o rimuovendo le chiavi di registro create dal software malevolo, oppure ricorrendo ai comuni tool antivirus/antimalware opportunamente aggiornati. Di seguito le chiavi di registro da rimuovere:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “msmmi” = C:\WINDOWS\system32\msmmi.exe
• HKEY_LOCAL_MACHINE\Software\msmmi\