Roberto Marchioro

0878, cinque denunce al giorno
Una cinquantina finora in citt? le vittime della truffa telefonica

La polizia postale ha avviato accertamenti sulle bollette astronomiche ricevute dai vicentini dal 15 agosto: salatissimi i collegamenti con internet attraverso ?Eutelia?, che i consumatori giurano di non aver selezionato
Si preannuncia l?ennesimo raggiro in stile 709 con le chiamate extra-Telecom

di Diego Neri

L?ennesimo raggiro con i collegamenti internet dal computer di casa. Il timore sta diventando certezza: da Ferragosto in avanti, la sola polizia postale riceve una media di 4-5 denunce al giorno da parte dei consumatori vicentini imbufaliti col prefisso 0878 che ?scalda? le bollette. Bollette astronomiche, da centinaia di euro, causate in gran parte dalla chiamate ad ?Eutelia?, un operatore esterno a Telecom che si fa strapagare i collegamenti: fino a 12 euro e mezzo al secondo. Roba da far impallidire qualsiasi sito a pagamento, anche pornografico. E il bello ? che nessuno si accorge di averlo contattato, cadendo dalle nuvole all?arrivo del salasso bimestrale.

Il caso, preannunciato alcuni mesi fa dal comitato vicentino ?Anti 709? quando erano arrivate le prime segnalazioni, rischia di trasformarsi in una beffa in cui molti potrebbero farsi del male.
In una decina di giorni, la polizia postale ha ricevuto una cinquantina di denunce. Mano a mano che arrivano le bollette i consumatori si rivolgono agli agenti dell?ufficio di piazza delle Poste, guidato dal commissario Michele Marchese e dal vice Barbara Bartoli. Senza contare tutti coloro che si presentano nelle caserme dei carabinieri sparse in tutta la provincia. Situazione analoga si sta vivendo in varie parti d?Italia.
Chi si presenta agli agenti racconta sempre i medesimi fatti: ? arrivata una bolletta con un importo molto pi? elevato del solito, e alla verifica per capire dove fossero stati spesi quei soldi spuntano i collegamenti all?operatore ?Eutelia?, che utilizza il prefisso 0878. Un prefisso legato non a telefonate vere e proprie, ma a collegamenti internet con il modem di casa.
Il meccanismo ? lo stesso della vicenda, nota, del prefisso 709. Generalmente, il consumatore si collega al web telefonando generalmente al proprio provider, che ha lo stesso prefisso di casa (0444, 0445, 0424), pagando qualche decina di centesimi all?ora. Quando entra in siti che offrono servizi a pagamento questi vengono segnalati in una finestra che si apre sullo schermo, e la telefonata viene ?dirottata? ad un altro prefisso, esterno alla Telecom e molto pi? costoso. Pu? accadere per scaricare giochi, per leggere oroscopi, per consultare archivi, per visualizzare immagini pornografiche.
Nel caso di 0878 non accade, spiegano le vittime, nulla di tutto questo. In primo luogo non appare alcuna finestra, e in secondo il navigatore su internet non sta spulciando fra i servizi a pagamento. Unico segnale, per chi utilizza il modem esterno (una scatoletta rumorosa che permette la connessione), sono i bip che cambiano il loro suono. Nulla pi?.
Da quanto emerso, le chiamate a 0878 costano cifre astronomiche, fino a 12,5 euro al secondo. ?Ho sentito un suono strano, e l?acceleratore di collegamento non funzionava pi? – racconta Loris -. Per questo ho bloccato immediatamente il collegamento. In bolletta ? spuntata la voce ?Eutelia?. Un secondo da 25 mila lire?.
Con questi prezzi, ? facile immaginare rincari in bolletta di 3-400 euro. I cittadini chiedono giustizia alla polizia postale, che ha avviato accertamenti per capire se le cose stiano come le vittime le raccontano.
Il rischio ? che 0878 diventi un tormentone come lo fu 709, che fu in grado di mietere 5 mila vittime fra il 2003 e il 2004 nel Vicentino. Le richieste di spiegazioni ai centralini della Telecom non soddisfano granch? i consumatori, anche perch? si tratta di un servizio che la compagnia telefonica appalta ad altri e in merito ai quali fatica a rispondere nel dettaglio. C?? ancora da fidarsi a collegarsi su internet?

Microsoft ha sospeso il servizio di messaggistica istantaneo, noto ai navigatori internet come “messenger”, del portale Msn a causa di un virus a luci rosse che viene trasmesso attraverso questo sistema di scambio di messaggi.

Il virus ha gi? colpito milioni di computer a Taiwan, in Cina, in Corea e negli Stati Uniti. Per questo motivo, i tecnici della Microsoft hanno deciso di sospendere temporaneamente il servizio. ?Il virus cerca di riprodursi cambiando nome utilizzando gli indirizzi email registrati nei contatti personali? spiega un comunicato stampa della Trend Micro, una societ? specializzata in sicurezza online e programmi anti-virus.

Il virus (WORM-BROPIA.F) si auto memorizza in uno dei file del sistema Windows e poi tenta di propagarsi nella rete attraverso il messenger cambiando per? il proprio nome. Attenzione quindi se viene consegnato un file dal “SEXY.JPG” che mostra un pollo arrosto con i segni di un?ipotetica abbronzatura da bikini: si tratta di una variante del virus che sta paralizzando anche gli Stati Uniti.

Lo so io e lo sapete bene voi: state commettendo l’incredibile leggerezza di navigare in internet usando il browser Internet Explorer di Microsoft.

Perch? vi volete cos? male? Perch? non rispettate il vostro computer? Soprattutto perch? volete far passare giornate intere al vostro tecnico del computer preferito nel tentativo di schiodarvi il computer che all’improvviso non va, non si collega in internet, fa apparire immagini sozze all’avvio?

Una volta per tutte: o vi installate Mozilla Firefox e vi dimenticate di Internet Explorer, oppure tenetevi Internet Explorer e aggiungeteci Spybot – Search & Destroy, un interessante tool che blocca gli activeX pi? disinvolti, rimuove dialer e schifezzerie dal vostro PC.

Gratis, ovviamente.

Nelle ultime ore si sta diffondendo sempre di piu’ sulla rete italiana un messaggio di posta elettronica in italiano che invita a scaricare uno screen saver di Zelig, la popolare trasmissione televisiva.

Sono pero’ diverse le ragioni che inducono a ritenere che si tratti di un worm, se non anche di un trojan: prima fra tutte il testo del messaggio, sempre uguale e l’indirizzo del mittente dell’email, sempre diverso.

Gli esperti sono tuttora al lavoro per capire quali siano con esattezza gli effetti del file una volta aperto. SalvaPC consiglia di non scaricare il file sul proprio computer prima che i tecnici abbiano concluso le loro analisi.

Di certo in questo momento nessun antivirus e’ in grado di individuare questo file come un worm.

Come Comportarsi

Nelle prossime ore e’ probabile che i maggiori produttori di antivirus metteranno a punto aggiornamenti specifici per individuare e bloccare il probabile worm. E’ anche possibile, anche se appare per ora improbabile, che si tratti di una bufala ben organizzata.

COME RICONOSCERE IL MESSAGGIO INFETTO

Come detto, il mittente dell’email e’ sempre diverso e potrebbe corrispondere all’email di un utente che e’ stato colpito dal worm.
Il soggetto del messaggio e’ invece sempre lo stesso:
Il momento e’ catartico.

Nel corpo del messaggio si trova sempre lo stesso testo:

Ricevo e cortesemente inoltro,…. un premio per la genialita’ hanno reso mitico un salva schermo scaricalo, poesie catartiche, che non sai cosa ti perdi
ciao

Dove “poesie catartiche” e’ linkato ad una pagina accedendo alla quale viene richiesto di scaricare il file sospetto.

UN SITO SPARAVIRUS?

Senza biosgno di ulteriori click, accedendo al sito viene richiesto lo scaricamento di Zelig.scr.

Sul sito, francescone.com/index.html, si trova una sola frase:
Il momento e’ catartico… per parafrasare un noto comico di ZELIG !!!

Tratto da SalvaPC.com

Nelle ultime settimane si sono diffusi nella rete due nuovi virus molto aggressivi.

Hanno caratteristiche molto diverse tra di loro tanto che non basta il semplice software antivirus per essere al sicuro ma ? anche necessario aggiornare il sistema operativo con le href="http://www.microsoft.com/italy/technet/solutions/security/ms03_026.asp" target=_blank>ultime patch di sicurezza messe a disposizione gratuitamente da Microsoft.

Il primo virus apparso ? stato chiamato LovSan oppure Blaster ed ha avuto una forte diffusione perch? colpisce un “buco” dei sistemi operativi Windows NT, 2000 e XP reso pubblico solo qualche giorno prima, trovando cos? via libera in tutti quei PC in cui, vuoi per il periodo estivo, vuoi per il fisiologico tempo di reazione degli utenti, non sono stati installati i dovuti aggiornamenti.

Il sintomo rivelatore della presenza del virus sul proprio computer ? lo spegnimento improvviso dello stesso dopo qualche minuto dalla connessione a internet.

La velocit? di propagazione (che non avviene via mail ma tramite le connessioni di rete e internet, invisibile quindi all’utente) ? stata tale per cui Microsoft stessa ha dovuto dedicare all’evento una sezione apposita del suo sito fornendo spiegazioni dettagliate, strumenti di controllo, aggiornamento e disinfezione

L’altro virus, chiamato Sobig.F, ? quello che, tecnicamente, viene definito un “mass mailer” cio? un codice che si invia di computer in computer tramite posta elettronica: in questo caso specifico non fa altro che cercare indirizzi di posta all’interno di file presenti nel nostro computer e tentare di autoinviarsi a questi creando delle mail con mittente falso (? quindi impossibile identificare il computer da cui ? partita la mail), oggetto casuale (preso da una lista definita dal virus stesso), con testo in inglese (“See the attached file for details”) e con un file allegato di circa 72 Kb.

E’ necessario, ovviamente, non eseguire tale file allegato.

Caratteristiche peculiari di questo virus sono la scadenza (smetter? di funzionare il 10 settembre) e l’elevato traffico generato: si stima che le mail infette stiano in rapporto di 1 a 17 sul totale del traffico mondiale di posta elettronica.

Ulteriori informazioni e strumenti di disinfezione si possono trovare sui siti dei maggiori produttori di software antivirus:
?Trend Micro (inglese)
?Network Associates (inglese)
?Symantec (inglese)
?Computer Associates (inglese)
?Symbolic (italiano)

Pubblicato anche su Altovicentino.net

Nel giro di poche ore dalla sua comparsa, avvenuta nel corso del week-end, il worm W32.HLLW.Mankx e’ riuscito a diffondersi notevolmente, complice la capacita’ di aggredire tutti i sistemi Windows.

Al momento gli esperti del Symantec Security Response valutano il grado di pericolosita’ dell’infezione Mankx a livello 3, in una scala da 1 a 5, dove 5 rappresenta la massima allerta.

C0S’E’ W32.HLLW.Mankx

E’ un worm capace di spedirsi via posta elettronica a tutti gli indirizzi che trova sul computer della propria vittima, tanto nelle caselle di posta elettronica presenti sul PC quanto nella Rubrica, in tutti i file html e in quelli di testo (.txt). La spedizione delle email viene effettuata attraverso un motore SMTP contenuto nel worm stesso.

Il worm si riproduce anche sulle reti di PC collegati sfruttando le risorse condivise.

Una volta dentro, nel computer infetto il worm compie quelle modifiche al registro di Windows che gli consentono di ripartire ad ogni riavvio del computer.

UN WORM A SCADENZA

Particolarita’ di Mankx e’ l’essere progettato per scadere il 31 maggio. Dopo quella data, infatti, il worm si disattiva e dai computer infetti il worm non spedisce piu’ alcun messaggio.

COME RICONOSCERLO

Per fortuna non e’ difficile riconoscere il worm. Il messaggio di posta elettronica e’ caratterizzato infatti da un mittente sempre uguale:
support {at} microsoft(.)com.

Sempre uguale e’ anche il corpo del messaggio:

All information is in the attached file.
Cambiano invece i soggetti dell’email e i nomi degli allegati infetti, che hanno comunque una dimensione pari a 52.898 byte.

COME RIMUOVERLO

Qualora il proprio computer sia colpito da questo worm si possono seguire due strade.

La prima e’ una rimozione automatica attraverso un tool web specializzato: il Symantec Security Response ne ha realizzato uno disponibile su questa pagina:
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.mankx.removal.tool.html

La seconda e’ la rimozione manuale. Le istruzioni si trovano su questa pagina:
w32.hllw.mankx {at} mm(.)html">http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.mankx {at} mm(.)html

Dopo essere partita in sordina, l’infezione via Internet del worm W32.HLLW.Fizzer sta aumentando di intensita’ tanto che il Symantec Security Response ha portato il livello di attenzione sulla sua diffusione da 2 a 3, in una scala dove 5 e’ il massimo grado di allerta.

COS’E’ FIZZER

Si tratta di un nuovo worm che sfrutta la posta elettronica per diffondersi su tutti i sistemi Windows.
Porta con se’ anche una backdoor che gli consente di comunicare con il suo autore attraverso mIRC (il celebre software per l’uso delle chat room di IRC) e contiene un keylogger, ossia un programma capace di registrare i tasti premuti dall’utente e inviare questi dati all’autore del programma. Dati che possono contenere password e codici di protezione.

COME RICONOSCERLO

Fizzer utilizza tutti gli indirizzi di posta elettronica che trova nella Rubrica di Windows per spedirsi attraverso email infette a quanti piu’ utenti possibile.
Il messaggio che trasporta Fizzer si maschera dietro un soggetto e un testo che cambiano di volta in volta, sebbene siano sempre scritti in inglese.
Ma l’email infetta puo’ essere riconosciuta dal suo allegato, un file la cui estensione e’: .exe, .pif, .com oppure .scr.
Si tratta di tipi di file che quando arrivano inattesi via email non dovrebbero in nessun caso essere aperti dall’utente.

COME DIFENDERSI

La prima regola e’ sempre quella di dotarsi di un buon software antivirus e di procedere al piu’ presto al suo aggiornamento. Tutte le maggiori case hanno gia’ predisposto gli strumenti adatti a impedire la propagazione del worm.