Nelle ultime ore è stata rilevata una nuova variante delle e-mail di spam “Internet Explorer 7.0 Beta”. Tutte quante hanno un link verso un file eseguibile dal nome “update.exe” ospitato su diversi domini.
Per ingannare i filtri anti-spam il testo, inserito nel corpo della mail, è stato racchiuso in tag HTML in modo che ad un loro controllo risultasse una semplice conversazione tra amici e invece all’apertura dell’e-mail con un qualsiasi client di posta venisse visualizzato solamente il link al file eseguibile.

Questi gli header più significativi:

From: <admin@microsoft.com>
To: xxxxx@xxxxxxxxx.xxx
Subject: Internet Explorer 7.0 Beta

Questi i domini, per ora individuati, che ospitano il file eseguibile:

• httx://accentstaffing.com_/images/update.exe
• httx://mikelike.cd_/update.exe
• httx://xoozee.cd_/update.exe
• httx://merzingo.cd_/update.exe
• httx://endfriends.cd_/update.exe
• httx://netdesks.cd_/update.exe
• httx://pleasedostock.hk_/update.exe
• httx://wordcasts.cd_/update.exe
• httx://abyssrecycling.co.uk_/images/update.exe
• httx://bcweblist.com_/images/update.exe
• httx://actorsandactresses.co.uk_/images/update.exe

(httx e l’underscore dopo il TLD sono stati inseriti per sicurezza)

Il primo nella lista, almeno nelle e-mail che ho ricevuto io, è stato quello più utilizzato. Fortunatamente già molti dei domini nella lista sono stati ripuliti e il link al file eseguibile restituisce un errore HTTP 404.

Il consiglio è quello di bloccare i domini sopra riportati tramite il proprio gateway o proxy di rete, oppure in maniera più semplice aggiungere, sul proprio server mail, dei pattern per il riconoscimento delle e-mail provenienti da “admin@microsoft.com” con oggetto “Internet Explorer 7.0 Beta”.
Per eventuali aggiornamenti rifarsi alla segnalazione dell’ISC.