[ eMMeBOX - NoBadMail ]

UpTime

2012-01-01T17:12:00.001+01:00

Dear Gino Paletta,

Below is your monthly uptime report for December 2011

-------------------------------------

 webmail.emmebox.net Service:

 WebMail Outages: 0

 Downtime: 0 hrs, 0 mins

 Uptime: 100.00%

-------------------------------------

mail.emmebox.net

Service: Mail Server

Outages: 0 Downtime: 0 hrs, 0 mins

Uptime: 100.00%

-------------------------------------

mail.emmebox.net Service: POP3 Server

Outages: 0

Downtime: 0 hrs, 0 mins

Uptime: 100.00%

-------------------------------------

mail su casella poste.it

2011-12-29T12:01:00.003+01:00

Ho appena recuperato l'accesso ad una "vecchia" casella su poste.it.
Mai usata, mai utilizzata per inviare messaggi....al suo interno erano presenti 175 messaggi ed erano tutti tentativi di phishing per carpire l'accesso al conto online BancoPosta o PostePay.

Sono state bloccate tutte correttamente con una affidabilità del 100% :-)

Ritardo in delivery delle mail

2011-05-17T23:02:00.002+02:00

A partire da oggi pomeriggio si è presentato un problema sul server di posta elettronica, che ha comportato un ritardo nella consegna dei vostri messaggi.

Il delivery di tutte le mail è appena stato completato.

Grosso guaio a chinatown ....

2011-04-13T23:44:00.002+02:00

Questa sera a partire dalle 16.22 tutta la rete del ns provider internet era non disponibile.

I servizi sono normalmente ripresi alle 19.00 circa.

emmeBOX for CDKL5.ORG

2011-04-05T23:41:00.002+02:00

Anche quest'anno grazie a tutti voi, abbiamo contribuito con una donazione agli amici del CDKL5.ORG.

Possiamo fare anche di più scegliendo di donare il nostro 5x1000.

Trovate tutte le informazioni su www.cdkl5.org

Lo sguardo di Elena

We have a CISCO

2011-03-13T20:31:00.003+01:00

Il ns router LINKSYS ha deciso che ormai era ora di andare in pensione!
Da stasera il giovincello CISCO 1841 lo sostituirà nelle attività di tutti giorni.

UBUNTU primi problemi

2010-01-07T23:35:00.002+01:00

L'avevo già notato ieri, al primo avvio del nuovo server con UBUNTU LTS e VMWARE.

Un tremendo TimeShift delle VM guest.

Ma il problema era più grave:

In pratica il kernel di UBUNTU Server (Hardy) deve essere tarato un pò per far funzionare "regolarmente" le VM ospitate.

l'effetto era un tremendo rallentamente delle funzioni presenti nella VM Guest (esempio slep 10, impiegava anche 30 secondi per terminare :-( ).

Queste le varie impostazioni utilizzate:

su SRV HOST

in /etc/vmware/config

host.useFastClock = FALSE

host.cpukHz = 1694543

host.noTSC = TRUE

ptsc.noTSC = TRUE

in host.cpukHz mettere il valore della propria CPU.

queste impostazioni rimuovono i vari messaggi di errore della variazione di frequenza della cpu rilevati vmon.

in /boot/grub/menu.lst inserire queste opzioni per il kernel:

noapic nolapic nosmp nohz=off

in particolare l'ultima indica al kernel di disabitare il "dynamic ticks" -> VEDI QUI

Tengo monitorata la situazione, ma sono fiducioso :-)

Anno nuovo sistema operativo nuovo

2010-01-06T00:42:00.004+01:00

Ho approfittato di alcuni giorni di ferie per aggiornare i server.

D'ora in poi utilizzerò UBUNTU sia come piattaforma sostitutiva di windows (es sui notebook delle "pupe") che come sistema operativo per i server.

VMWare Server si è installato senza nessun problema su un HOST UBUNTU 8.04 LTS (Long Term Support) in piattaforma Intel Mobile (Basso consumo).

Anche il fatto di migrare da una piattaforma "VIA" ad una "Intel Mobile" è una novità dovuta ai (4) crash verificatisi nel 2009.

Qualche noia l'ho avuta "interfacciando" APCUSPD (demone di controllo dell'UPS APC) conUBUNTU.

Il problema era causato da un "conflitto" tra i moduli che gestiscono l'interfaccia IR (Infrarossi) e la seriale connessa all'UPS (ttyS0).

Mettendoli in Blacklist ho risolto!

Per inserire moduli in blacklist (e quindi non farli utilizzare al KERNEL) bisogna aggiungere una riga nel file /etc/modprobe.d/blacklist.

Nel mio caso ho inserito:

# Conflitto tra IR e ttyS0

blacklist smsc_ircc2

blacklist ircomm_tty

blacklist irda

Manutenzione programmata

2009-11-20T11:21:00.001+01:00

Manutenzione programmata - 27 e 28 Novembre 2009

A causa di lavori pianificati necessari per aggiornare ed espandere l'infrastruttura di rete, segnaliamo che - a partire dalle ore 22.00 di Venerdì 27 Novembre 2009 e fino all'intera mattinata di Sabato 28 Novembre 2009 - tutti i servizi erogati non risulteranno correttamente funzionanti.Faremo il possibile per ridurre al minimo la durata dell'intervento e vi chiediamo pazienza assicurando che l'operazione apporterà ulteriori miglioramenti alla nostra struttura tecnologica, al cui aggiornamento lavoriamo costantemente per mantenerla sempre all'avanguardia.

Volumi elevati di SPAM

2008-12-30T22:10:00.003+01:00

Quella in immagine è la situazione delle mail "Bloccate" nella sola giornata di oggi.

Impressionante! Circa 650 mail su 700 identificate come spam e/o contenenti malware!

Grazie

2008-12-27T22:05:00.003+01:00

Un grazie di cuore a quanti hanno già aderito alla nostra iniziativa pro-Unicef versando la loro quota.

Tanti auguri e felice 2009.

Basso consumo

2008-09-12T16:03:00.004+02:00

Finalmente abbiamo sostituito i vecchi server con nuovi sistemi basati su piattaforma VIA e VMWare server.

I nuovi "hardware"sono stati scelti per dimuinre i consumi energetici e ridurre i costi globali della piattaforma.

Inoltre grazie a VMware Server siamo ora in grado di ripristinare "Velocemente" la normalità dei sistemi in caso di "grave crash".

Manutenzione straordinaria

2008-08-30T00:26:00.002+02:00

Ho individuato il problema che ha causato il crash di qualche giorno fa e l'instabilità dei nuovi sistemi in certe situazioni.
Questa notte dalle 01.00 alle 02.00 tutti i servizi non saranno disponibili causa lavori.
Sarà una lunga nottata, ma conto di sistemare tutto entro domani mattina.

Buona notte :-(

Computer Crash

2008-08-27T09:18:00.003+02:00

Questa notte si è verificato un "computer crash":-(!
I sistemi non sono stati disponibili dalle 12.00 fino alle 09.00, poi sono stati ripristinati ed ora tutto funziona regolarmente.

Buona giornata

Nuovi servizi eMMeBOX

2008-08-23T15:36:00.001+02:00

Questa notte ho completato la migrazione dei servizi eMMeBOX su nuovi sistemi.

Presto riceverete informazioni su come usufruire delle nuove funzionalità.

Enjoy eMMe BOX Mail

Problemi di collegamento

2008-05-13T11:55:00.002+02:00

Segnaliamo la presenza di problemi intermittenti sul collegamento internet dei nostri sistemi.
Le anomalie sono state prontamente segnalate e siamo in attesa di una loro risoluzione.

Bravo FireFox

2007-11-30T17:20:00.000+01:00

Solite mail di phishing ai danni delle utenze di poste italiane...
seguo le indicazioni ricevute in mail (VOI EVITATE) e ecco il buon FireFOX sconsigliarmi di visitare il sito !

Falso video ASX con MALWARE

2007-11-19T22:58:00.000+01:00

Eccoli di nuovo! Quelli del finto CODEC!
Sono in circolazione mail tipo questa:

"Ciao Ragazzi, non mi sono scordato della promessa di Sabato sera... Ecco il video de Fiorella! Non mi importa se lo scopre, visto che lei non ha avuto nessun problema a scoparsi 7 uomini assieme. Quindi se volete farlo girare no problem ok? http://jrb.freemoviepro.com/LinkVeroRimosso.asx
Ciao a presto!
Gianni A. Perutti"

Evitate come al solito di cliccare sui link forniti nelle e-mail "strane" e non "attese".
Se invece malauguratamente cliccate, vi sarà chiesto di effettuare un upgrade dei CODEC per permettervi la visualizzazione corretta del filmato!
NON FATELO PERCHE' E' IL SOLITO MALWARE!
Ecco il risultato della sottomissione a VirusTotal:

Antivirus	Versione	Ultimo aggiornamento	Risultato
AhnLab-V3	2007.11.19.0	2007.11.19	-
AntiVir	7.6.0.34	2007.11.19	TR/Dldr.Agent.fas
Authentium	4.93.8	2007.11.19	-
Avast	4.7.1074.0	2007.11.19	-
AVG	7.5.0.503	2007.11.19	Downloader.Agent.VGB
BitDefender	7.2	2007.11.19	-
CAT-QuickHeal	9.00	2007.11.19	TrojanDownloader.Agent.fas
ClamAV	0.91.2	2007.11.19	-
DrWeb	4.44.0.09170	2007.11.19	-
eSafe	7.0.15.0	2007.11.14	suspicious Trojan/Worm
eTrust-Vet	31.3.5308	2007.11.19	-
Ewido	4.0	2007.11.19	-
FileAdvisor	1	2007.11.19	-
Fortinet	3.11.0.0	2007.11.19	-
F-Prot	4.4.2.54	2007.11.19	-
F-Secure	6.70.13030.0	2007.11.19	Trojan-Downloader.Win32.Agent.fas
Ikarus	T3.1.1.12	2007.11.19	not-a-virus:Dialer.Win32.Agent.d
Kaspersky	7.0.0.125	2007.11.19	Trojan-Downloader.Win32.Agent.fas
McAfee	5166	2007.11.19	-
Microsoft	1.3007	2007.11.19	-
NOD32v2	2670	2007.11.19	-
Norman	5.80.02	2007.11.19	W32/Agent.DHJE
Panda	9.0.0.4	2007.11.18	-
Prevx1	V2	2007.11.19	Trojan.Dropper
Rising	20.19.00.00	2007.11.19	-
Sophos	4.23.0	2007.11.19	Mal/Emogen-G
Sunbelt	2.2.907.0	2007.11.17	VIPRE.Suspicious
Symantec	10	2007.11.19	-
TheHacker	6.2.9.134	2007.11.19	Trojan/Downloader.Agent.fas
VBA32	3.12.2.5	2007.11.19	suspected of Downloader.Small.51 (paranoid heuristics)
VirusBuster	4.3.26:9	2007.11.19	Packed/Exe32Pack
Webwasher-Gateway	6.0.1	2007.11.19	Virus.Win32.FileInfector.gen

Informazioni addizionali
File size: 88782 bytes
MD5: 1cd5f730e192b2d284d103b0ea57273c
SHA1: f94cee6eeac7c7185d6e26ccc91421a7f7662559
packers: UPX
packers: UPX, EXE32Pack
packers: Exe32Pack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=3BDF86D0CE0208545A50016A12607300427D95AE
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Continua la ricezione di malware (exe on ZIP)

2007-11-19T11:22:00.000+01:00

Il corpo della mail è simile a questo:

"Hello, Friend! "In the current environment where I found super flash game!so many parents Naked Milla Jovovich in your attachment... Very sexy... Enjoy! has manybenefits. Bye. as a requirement better off said Gervasio, Ginsburg,the report's lead author and and parents alike. "true toys" beneficialbut should not be viewed academy report says. children are plopped in academy committees for resists son in particular has for creating ismore good, he not be on par "

l'allegato presente è un EXE (compresso tramite ZIP) che sottomesso a virustotal da questo risultato:

Navigazione WEB sempre più a rischio

2007-11-18T13:54:00.001+01:00

Domenica scorsa, partendo dal sito di repubblica sono stato dirottato su sito di un falso antivirus: protezionesoft.com... e dopo poco appare un pop-up:

"Il tuo PC è a rischio e non è ottimizzato per la navigazione sul WEB" ...

Se vi imbattete anche voi in sciocchezze simili, non credete alle indicazioni che vi vengono date e "andate oltre"... non cadete nei tranelli!

Ho sottomesso il programma da loro distribuito, su virustotal e veniva riconosciuto da tre o quattro produttori di software di sicurezza., come software indesiderato!

Oggi ho ripetuto il test partendo direttamente dal sito protezionesoft.com.

Il pericolo è ancora esistente anche se il sito ha cambiato un pò l'aspetto...!

Phishing banca di ...

2007-08-20T10:49:00.000+02:00

Solite mail di "phishing"!
Ecco il messaggio con i soliti errori di ortografia:

"Gentile Cliente, Il codice segreto del suo conto on-line e stato inserito incorretto piu di tre volte.Per proteggere suo conto abbiamo sospeso il acceso.Per recuperare il acceso prego di entrare completare la pagina di attivazione.Grazie ancora per aver scelto i servizi on-line di Banca di Roma.I migliori saluti.Servizio Clienti Banca di Roma"

mi raccomando non abboccare e non fare nulla di quanto indicato.

Se si clicca sul link proposto, compare una pagina web (FALSA) della banca indicata.

Da notare che il phisher sta utilizzando gli stessi server (posizionati in KOREA TELECOM e Hanaro Telecom KR) per tentare frodi ai danni di Banca di Roma e Banco di Sicilia.

Problemi al Link internet risolti

2007-08-14T09:33:00.000+02:00

Da questa mattina i problemi al link internet di NGI dovrebbero essere risolti.
I servizi eMMeBOX - noBADMail sono nuovamente online!
Buona giornata

Caduta link di raccolta BOLOGNA

2007-08-13T23:57:00.000+02:00

Purtroppo pare ci siano IMPORTANTI PROBLEMI di collegamento Internet per la zona di Bologna (F5 NGI)

Attualmente i servizi eMMeBOx - noBADMail non sono quindi utilizzabili.
Nell'attesa di una risoluzione, da parte dei tecnici NGI, potete utiizzare questa pagina per monitorare la situazione.

Bancoposta .. phishing in aumento

2007-05-28T11:12:00.000+02:00

"Il reparto in linea della banca sta chiedendogli di partecipare ad una prova corta che consistedi 5 domande. Nello scambio riceverete 50 E in vostro conto – per il vostro tempo (10 E per ladomanda). Con le informazioni riunite potremo fare una serie dei cambiamenti e l'ingrandimento dei nostri servizi. Le informazioni fornite saranno sicuri e confidenziali. Rimarrano nella nostra basedi dati per 7 giorni nel frattempo che porteremo attualizzare i risultati della prova."

Questo è il testo di un'ulteriore tentativo di phishing orientato alle utenze di bancoposta. Se incautamente cliccate il link contenuto nella mail, arrivate ad una pagina web dove, dopo alcune domande, vi viene chiesto di inserire la vostra username, password e codice di sicurezza.

Evitare accuratamente :-)

Attenti al pirata

2007-05-25T09:07:00.000+02:00

"Pirates of the Caribbean: At World's End"; è il Subject della mail che contiene un programma compresso (ZIP) che si spaccia come Trailer dell'omonimo film il proiezione nelle sale.
Al momento viene riconosciuto come:
Ikarus
T3.1.1.8
05.25.2007
Backdoor.Win32.Prorat.19.i

Sunbelt
2.2.907.0
05.24.2007
VIPRE.Suspicious

Nessun problema per le caselle eMMeBOX - noBADMail

Phishing Bancoposta ... continua

2007-05-23T14:02:00.000+02:00

Continua da parecchio tempo il flusso di mail contenti tentativi di phishing verso gli utenti di poste.it e il loro servizio BancoPosta.

Per impedire che il sito WEB, contenente le pagine falsificate, venga chiuso prima di raccogliere un numero adeguato di vittime, viene ora utilizzata una tecnica "simpatica".

Si usano sistemi compromessi come ad esempio il vostro pc di casa, o il vostro server in ufficio, e si istallano un WEBServer (se non già presente) e altri applicativi, poi si inviano migliaia e migliaia di mail contenente il link al server compromesso.
il proprietario del sistema compromesso diventa inconsapevolmente "complice" del tentativo di Phishing.

Date un'occhio qua:
http://ip-190-130.sn2.eutelia.it/%20%20/postenew/index.htm
e poi verificate cosa si trova in Home Page :-(
http://ip-190-130.sn2.eutelia.it
Al momento sto cercando di contattare il WEBMaster per fargli mettere Offline il WEBServer.

Vi ricordo che sul sito Bancoposta sono indicate le regole base per non "farsi fregare"

Mail proveniente da polizia di stato? #2

2007-05-17T13:54:00.000+02:00

Sembra che l'invio di mail, contenenti malware, che si spacciavano come provenienti dalla polizia di stato, sia stato rilevante. Se ne parla oggi anche su Punto-Informatico

Mail proveniente da polizia di stato?

2007-05-16T09:58:00.000+02:00

Stiamo rilevando, a partire dalle 00.13 di oggi, parecchie mail che sembrano provenire dalla polizia di stato.

Questi sono alcuni esempi dei mittenti utilizzati:

priscomaz@poliziadistato.it_
prisco_ma@poliziadistato.it_
pris_mazzi@poliziadistato.it_

Sono in realtà i soliti malintenzionati che tentano, tramite tecniche di ingegneria sociale, di infettare il vostro PC.
Se ne parla in maniera più approfondita sul sito PCalSicuro e AttivissimoBlog
Nessun problema per le caselle eMMeBOX - noBadMail

Attenzione alle e-mail che si spacciano provenire poste.it

2007-05-15T16:09:00.000+02:00

Continuano ad arrivare sui nostri sistemi di posta, mail di phishing destinate alle utenze dei conti bancoposta o carte postepay.

Riportiamo ad esempio il testo di una di queste email fraudolente:

"Gentile Cliente, nell'ambito di un progetto di verifica dei dati anagrafici forniti durante la sottoscrizione dei servizi di Posteitaliane è stata riscontrata un'incongruenza relativa ai dati anagrafici in oggetto da Lei forniti al momento della sottoscrizione contrattuale.
L'inserimento dei dati alterati può costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P art.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in autocertificazione.
Per ovviare al problema è necessaria la verifica e l'aggiornamento dei dati relativi all'anagrafica dell'Intestatario dei servizi Postali.
E' possibile effettuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro.
Cordiali Saluti"

Nel caso riceviate una di queste segnalazioni, evitate accuratamente di seguire le indicazioni fornite; eventualmente fate riferimento diretto ai numeri di CallCenter di Poste.it per togliervi ogni dubbio.

nessun problema per le caselle eMMeBOX - nobadMail

Problema di sicurezza con documenti word

2007-01-29T15:35:00.000+01:00

E' stata segnalata la presenza di una nuova vulnerabilità in Word 2000.
Un malintenzionato potrebbe inviarvi un file .DOC per cercare di compromettere le vostre postazioni.

"In order for this attack to be carried out, a user must first open a malicious Word file attached to an e-mail or otherwise provided to them by an attacker"

Ulteriori informazioni sul sito Microsoft

Nuovo attacco malware in corso

2006-12-22T10:18:00.001+01:00

E' in corso da qualche ora un nuovo attacco malware basato su file di tipo ASX.
Appena possibile fornirò una descrizione più dettagliata.
Le caselle eMMeBOX - noBADMail sono comunque protetto anche se NESSUN PRODOTTO ANTIVIRUS al momento rileva il problema.

- aggiornamento 22-12-06 11:30
i file ASX contengono un link ad un programma (compresso con EXEPack registrato per revenge2k5) che tenta di spacciarsi come un codec.
una volta eseguito viene utilizzato l'account di Outlook Express trovato sul PC per creare una mail che viene inviata ai propri destinatari abituali; viene anche utilizzata la firma normalmente utilizzata dai propri messaggi.
il malware evita di inviare mail alle caselle di domini particolari tra cui:
*police.it
*poliziadistato.it
*polstrada.it
*poliziamunicipale.it
*polmunicipalemartina.it
*munipol.it
*polizia.it
*carabinieri.it
*attivissimo.net
*serviziinformazionesicurezza.gov.it*
*sisde.it
*governo.it
*palazzochigi.it

- aggiornamento 22-12-06 11:43
sul blog di PC-alSicuro è presente un post che parla di questo malware

Vulnerabilità in WORD

2006-12-08T15:16:00.000+01:00

Microsoft ha reso nota una vulnerabilità in WORD .

Questo è quello che viene consigliato:

Microsoft has tested the following workarounds. While these workarounds will not correct the underlying vulnerability, they help block known attack vectors. When a workaround reduces functionality, it is identified in the following section.

Do not open or save Word files that you receive from un-trusted sources or that you receive unexpectedly from trusted sources. This vulnerability could be exploited when a user opens a specially crafted Word file

Tradotto... da questo momento fate attenzione anche agli allegati WORD

Avvocato Gentili

2006-12-01T11:46:00.000+01:00

Dalle prime ore della mattina di ieri sono state segnalate mail di un tal "Avvocato Gianluca Gentili" molto particolari.
Si tratta di un tentativo di infettare le vostre postazioni tramite una tecnica molto bel congeniata di "Social Enginering"

Analisi dell'attacco sul blog di attivissimo qui e qui

Regola numero NOVE del dodecalogo di sicurezza informatica di Attivissimo: mai cliccare sui link proposti da sconosciuti.

Lavori di manutenzione provider internet

2006-11-30T15:12:00.000+01:00

Sono stati segnalati lavori di manutenzione sull' infrastruttura di connessione internet per oggi, 30 novembre 2006.
Gia dal primo pomeriggio sono previsti i primi interventi che non dovrebbero comunque arrecare disservizi.

eMMeBOX e UNICEF

2006-11-23T23:17:00.000+01:00

Vi ricordo che entro il 1 Dicembre 2006 è necessario versare il contributo associativo di 24 euro anno.
Tutte le quote al netto dei costi di gestione verranno donate all'UNICEF.

Per informazioni sulle modalità di versamento potete utilizzare i documenti presenti sulla destra del blog.

Manutenzione sistemi

2006-10-26T11:21:00.000+02:00

Questa sera 26 Ottobre 2006 dalle 22.00 alle 24.00 verranno effettuati interventi di manutenzione sui server.

Tutti i servizi eMMeBOX saranno nuovamente disponibili al termine delle attività.

HOT114

2006-10-24T16:41:00.000+02:00

Voglio segnalarvi un'iniziativa di telefono azzurro:

HOT114

Sul sito è possibile effettuare segnalazioni di materiale "sospetto" scoperto in rete.

CONTENUTI CHE SI POSSONO SEGNALARE
In questo sito è possibile segnalare contenuti illegali (materiale pedopornografico), o potenzialmente dannosi per bambini e adolescenti.
E’ possibile imbattersi in questo genere di contenuti su:
-- siti web (indicare l’indirizzo web, l’eventuale login e password per accedere al sito)
-- newsgroup (indicare il nome del newsgroup, il nickname o il numero identificativo dell’utente da segnalare, il titolo e il testo del messaggio)
-- chat (indicare il programma di chat o l’indirizzo web, la stanza, il nickname o il numero identificativo dell’utente da segnalare, il titolo e il testo del messaggio)
-- e-mail (indicare mittente, l’eventuale header* ovvero l’intestazione del messaggio e il testo del messaggio)
-- file sharing (indicare il programma di file sharing, il nickname o l’indirizzo email dell’utente da segnalare, eventuale login e password necessarie per accedere al sito).

Anche se avete qualche incertezza rispetto all’illegalità o alla pericolosità dei contenuti incontrati durante la navigazione, potete comunque procedere con la segnalazione.
Una volta segnalati questi contenuti sul sito, non è necessario contattare le Forze dell’Ordine: le segnalazioni pervenute su questi sito, infatti, sono tempestivamente inoltrate alla Polizia Postale e delle Comunicazioni.

ma che bel giochino!

2006-10-16T11:08:00.000+02:00

Stiamo bloccando e-mail con oggetto: "che bel giochino", "fare girare" ...
il testo del messaggio è:

mi hanno mandato questo...
heheheniente male...pro vatelo!!
ciao ;-)

contengono un'allegato eseguibile compresso tramite ZIP.
Sottomettendolo a VirusTotal e a VirusScan.Jotti.org si ottiene un risultato equivoco:

prossimamente maggiori dettagli

-- Aggiornamento del 17-10-06 ore 11:07

In questo momento il malware viene rilevato pressochè da tutti i prodotti AntiVirus. Alcuni lo segnalano come Troiano senza capacità di infezione autonoma, ma visto il metodo di propagazione, mail identiche inviate direttamente, non tramite un forward, sono propenso a pensare che il malware si autoinvi a altre caselle.

Ecco il risultato dell'analisi di VirusTotal attuale:

Ancora problemi per PowerPoint

2006-10-16T10:04:00.000+02:00

Dopo il recente rilascio di patch Microsoft per PowerPoint , esperti di sicurezza hanno fatto sapere che SONO ANCORA PRESENTI PROBLEMI.
Per precauzione non rimuoverò ancora il blocco files .PPT e .PPS.

Articolo su Punto-Informatico
Informazioni su Secunia
Informazioni su FrSIRT Security

da cui estraggo:

"A vulnerability has been identified in Microsoft PowerPoint, which could be exploited by attackers to take complete control of an affected system. This flaw is due to a memory corruption error when handling a malformed presentation, which could be exploited by attackers to execute arbitrary commands by tricking a user into opening a specially crafted document

Solution
Do not open or save Office documents received from un-trusted sources.The FrSIRT is not aware of any official supplied patch for this issue."

Phishing Mediolanum

2006-10-14T16:17:00.000+02:00

Da qualche giorno stiamo bloccando mail con tentativi di phishing verso i clienti Mediolanum !
La mail riporta la seguente immagine:

Se si seguono (NON FATELO) le indicazioni e si clicca sul link proposto si viene diretti sul sito del "Phisher" che cerca di carpirvi la userd-id password e vari codici segreti...

Se avete installato la toolbar di NetCraft, sarete avvertiti del tentativo di frode:

Questo infine è il sito se si indica di proseguire ugualmente.

La mail non contiene allegati e/o malware, quindi difficilmente verrà fermata da un normale AntiVirus.

Pericoli sul WEB #2

2006-10-13T23:46:00.000+02:00

Poco fa navigando sul WEB, volevo verificare quali sono le auto bi-fuel (metano-benzina) disponibili sul mercato.
Parto digitando www.quattroruote.it , ma per un errore di digitazione scrivo quatro invece che quattro (_vi_consiglio_di_non_provare_).
Vengo diretto su un sito con foto di signorine "desnude" molto promettenti. NATURALMENTE CLICCANDO SULLE IMMAGINI si inizia il DOWNLOAD di un'ESEGUIBILE denominato "superaccesso.exe".
Il fido VirusTotal segnala il solito malware:

Stavolta il "Buon AVAST" mi avrebbe protetto!

Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution

2006-10-11T16:05:00.000+02:00

Microsoft ha pubblicato ieri (10-10-06) una patch per la vulnerabilità individuata sui file powerpoint .
Per informazioni andate su TechNet di Microsoft.

A breve rimuoverò il blocco per i files di tipo PPT e PPS, inserito per precauzione qualche giorno fa.

Pericoli sul WEB

2006-10-07T10:37:00.000+02:00

Oggi ho voluto verificare quanto tempo impiega una persona normale, navigando sul WWW, a compromettere il proprio personal computer a causa di qualche malware.

ho utilizzato:

Una postazione Windows 2000 Professional completamente patchata.
Utilizzavo un'utenza administrator (Da evitare ma le utenze domestiche sono tutte così, e quelle professionali buona parte!)
Internet Explorer era utilizzato con le impostazioni standard.
Sul PC era installato AVAST un'antivirus FreeWare molto valido, che offre tra l'altro la scansione del traffico WWW.

Parto da Google ed effettuo una ricerca banale: inserisco la parola "AMICHE".

Scelgo qualche link a caso e dopo circa 15 minuti vengo dirottato su un sito che propone i contatti di numerose "amiche" desiderose di conoscermi.

Faccio click per conoscere una "morettina" del nord italia, e mi compare una schermata che mi indica che non ho il "codec" corretto per visualizzare il VideoMessaggio lasciato da Claudia.

Mi viene proposto il download automatico che accetto.... e:

bang sono stato compromesso... :-(

questo è il risultato della scansione di VirusTotal:

Da questo momento il PC sarà inaffidabile! Pensate cosa potrebbe succedere se il malware installasse un KeyLogger e dallo stesso pc venissero utilizzati i conti bancari online!

TEMPO IMPIEGATO 15 minuti!

Dialer il grande ritorno?

2006-10-04T11:06:00.000+02:00

Oggi Punto-Informatico segnala una nuova ondata di bollette telefoniche invase dagli effetti di esosi dialer.

in argomento potete leggere i miei precedenti post su AcquadiRose e CiSiamoDiBrutto o effettuare una ricerca su google.

Fate attenzione particolare nell'utilizzo di siti non conosciuti.

E' FACILISSIMO incappare su siti "Spara Dialer":

Siti web che offrono LOGHI e SUONERIE
Siti web PORNOGRAFICI
Siti web che offrono SFONDI per il computer
Siti web che offrono MUSICA MP3 e FILMATI

Problema di connettività

2006-10-04T09:39:00.000+02:00

Oggi 4 Ottobre 2006 alle 8.30 si è verificato un problema di connettività internet.
Tutti i sistemi sono stati ripristinati alle 9.20.

Manutenzione sistemi

2006-10-03T15:52:00.000+02:00

Questa sera 3 Ottobre 2006 dalle 22.00 alle 24.00 verranno effettuati
interventi di manutenzione sui server.

Tutti i servizi eMMeBOX saranno nuovamente disponibili al termine delle
attività.

AcquaDiRose e CiSiamoDiBrutto stesso malintenzionato

2006-09-30T00:14:00.000+02:00

Ad una seconda e più attenta verifica, ho notato la coincidenza del Server che ospita il sito del tentativo di frode _AcquaDiRose_ con quello di _CiSiamoDiBrutto_

Anche i file eseguibili scaricati sono identificati nello stesso modo da VIRUSTOTAL.
Dietro a questi due tentativi di frode informatica c'è dietro insomma la stessa "mano".

Dialer

2006-09-29T22:57:00.000+02:00

Un'altro tentativo di "frode informatica" è in circolazione.

In questo caso il malintenzionato intende istallare, con la vostra complicità, un DIALER, facendovi rischiare bollette TELECOM veramente salate.

Ecco il messaggio:

Gentile cliente (Vostra_email), in seguito ai controlli effettuati sui nostri sistemi Le comunico la sua posizione amministrativa alla data odierna:

fattura 7W07944778 del 4 bim. 2006
residuo da saldare euro 497,63
totale da pagare euro 497,63

Potete effettuare il pagamento tramite conto corrente postale con apposita modulistica reperibile a questo indirizzo oppure tramite bonifico bancario alle coordinate bancarie indicate con il seguente indirizzo.
In entrambi i casi Vi preghiamo di compilare la causale indicandoin numero della fattura. A pagamento effettuato Vi chiediamo gentilmente di inoltrare la documentazione al seguente numero di fax..

Nel ricordarVi che il mancato pagamento prevede come da contratto la sospensione del servizio e l'avvio di tutte le pratiche legali per la riscossione del credito da parte degli entri preposti in ottemperanza all'art. 57 del contratto da Lei stupulato di seguto allegato

-- contratto --

Buona giornata

Nel messaggio sono presenti link che, se utilizzati, effettuano il download di file eseguibili mascherati tramite l'icona di Word.
Fate sempre attenzione all'ultima parte dell'estensione del file! In questo caso .exe identifica un files eseguibile per la piattaforma PC.

Cliccando sul numero della fattura viene mostrato la seguente pagina WEB, ospitata su un server cinese:

Se cliccate sul link proposto per ingrandire l'immagine della fattura, viene effettuato il solito download di file eseguibile.

Il nome del dominio utilizzato dal malintenzionato (_cisiamodibrutto_), non mi sembra troppo azzeccato, e forse rende identificabile il falso più facilmente.

La toolbar di netcraft ha regolarmente identificato il sito come ad Alto Rischio, inoltre sottomettendo i file "downloadati" a VIRUSTOTAL si ottiene questo risultato:

Come si può notare non tutti gli antivirus sul mercato, riconoscono questo programma come malevolo.

Tenere sempre aggiornato il vostro AntiVirus è importante, ma ancora di più è mantenere l'attenzione alta, e non cliccare mai sui link proposti da mail inaspettate.

VULNERABILITA' PowerPoint

2006-09-29T11:41:00.000+02:00

Microsoft ha pubblicato un advisory di sicurezza per una "falla" presente su PowerPoint!

Si tratta di una VULNERABILITA' ANCORA NON RIMOSSA dagli aggiornamenti disponibili su MicrosoftUpdate.

Tutti noi riceviamo, da amici e conoscenti, file di tipo PowerPoint contenenti presentazioni simpatiche e scherzose.
Purtroppo anche questo tipo di file può essere pericoloso per i nostri Personal Computer.

In attesa del rilascio della patch, Microsoft ha consigliato ai propri utenti di aprire solo file PowerPoint (.ppt) provenienti da fonti affidabili o, in alternativa, aprire i file sospetti con PowerPoint Viewer 2003, che non è afflitto dalla vulnerabilità.

Per arginare temporaneamente il fenomeno, ho deciso di bloccare il file di tipo PowerPoint (.PPS, .PPT, .POT), destinati alle caselle eMMeBOX - NoBadMail.

Questo in attesa che i produttori dei programmi AntiVirus aggiornino i loro "engine" per la rilevazione di questa VULNERABILITA'.

Potete comunque seguire le indicazioni ricevute nella notifica di [allegato pericoloso rimosso], per ricevere regolarmente il file posto in "quarantena".

Attenzione all' AcquaDiRose

2006-09-27T17:15:00.000+02:00

Stanno circolando mail , senza allegati pericolosi, che utilizzano tecniche di "social enginering" per convincerci a "cliccare" su un link particolare.

Questo è un messaggio tipo:

Subject: Dimmi che non

C'è da augurarsi che non sia tu, anche se si fa fatica a crederci... Anche perchè chi può aver pubblicato documenti del genere ?
Controlla e rispondimi per piacere
http://www.acquadirose___Link_Omesso___

ciao

La forma italiana, al contrario di tante mail di tipo fraudolento, è corretta.
Anche il mittente sembra a prima vista attendibile.
Se incuriositi dalla cosa si "clicca sul link proposto", si arriva alla pagina seguente:

Sembra, a prima vista, un sito Web contenente alcuni documenti Word (innocui?), ma se si clicca su uno di questi compare una anomala finestrella che indica di cliccare su "Esegui".

Se si preme su OK, inizia lo scaricamento del file scelto, che invece di un'innocuo file di Word (.DOC) si rileva un eseguibile (programma) per Windows.

EVITATE di ESEGUIRE questo programma.

Ho sottomesso il file ricevuto al servizio VirusTotal che permette di verificarlo con una lista abbastanza completa di AntiVirus, e questo è il risultato:

Al momento non sono molti i programmi AntiVirus che rilevano questo programma fraudolento.

Da notare che Netcraft ha correttamente individuato AcquadiRose come un sito ad Alto Rischio.

La Toolbar di NetCraft è disponibile, gratuitamente, sia per FireFox che per MS internet Explorer.
Fate riferimento al sito di NetCraft per le modalità di istallazione.

Più phishing meno Virus

2006-09-26T22:56:00.000+02:00

Dal grafico dei contenuti pericolosi individuati sui server eMMeBOX, ho notato che stiamo ricevendo molti tentativi di Phishing mentre i Virus sono quasi completamente a "riposo".
Anche il filtro "SaneSecurity", aggiunto ieri, sta facendo il proprio dovere.

SaneSecurity - Phishing & Scam detection

2006-09-25T23:15:00.000+02:00

Ho appena ultimato la configurazione di Clamav per l'utilizzo di "SaneSecurity Phishing & Scam signature".
Un' ulteriore sicurezza per le vostre caselle :-)

Fate riferimento a questa pagina per approfondire cos'è il fenomeno del phishing e a questa per quello dello scam.

Documenti

2006-09-25T12:25:00.000+02:00

Ho creato sulla "destra del blog" una sezione documenti.

Vi trovate, oltre alle "norme di utilizzo" , anche le "modalità di adesione" e una utile "guida per la configurazione di Outlook Express".

Il formato PDF è stato scelto perchè, di norma, esiste un "visualizzatore" per tutti gli ambienti operativi (PC, MAC, Palmari etc).
Se ancora non lo avete installato, potete effettuare il download seguendo le indicazioni che trovate sul sito di adobe

A breve renderemo disponibili nella stessa sezione, una guida alle funzionalità base della WebMail.

Attivazione servizi definitivi

2006-09-22T00:00:00.000+02:00

E' finita finalmente la fase di consolidamento dei Servizi eMMeBOX.net

Ora, con il recente inserimento di nuove strutture Hardware (più prestazioni) e Software, siamo in grado di fornire un servizio completo e affidabile, che comprende i controlli NoVIRUS, NoSPAM e NoFraud contro i tentativi di frode (phishing).

Su questo BLOG potrai trovare le segnalazione e le statistiche di servizio pubblicate mensilmente.

Se sei soddisfatto del nostro lavoro, ti chiediamo di leggere i documenti che presto riceverai nella tua casella, e di rinnovarci la tua fiducia tramite il pagamento di un minimo contributo annuale.

Già da subito ti anticipiamo che verseremo ogni anno il 50% dei contributi ricevuti, al netto dei costi di gestione, all' UNICEF.

Se per qualche motivo non desiderassi ulteriormente la nostra collaborazione, non devi fare nulla; semplicemente tutte le caselle di posta o i servizi che non verranno adeguatamente sottoscritti entro il 1 dicembre 2006, verranno eliminati.

Affettuosi saluti

il Team eMMeBOX.net

prossima attivazione servizi definitivi

2006-09-17T23:19:00.000+02:00

Vi preannuncio che a breve verrà formalizzata l'attivazione dei servizi definitivi.

Presto riceverete nelle vostre caselle tutte le indicazioni necessarie.

intanto vi anticipo che gli "engine di rilevazione" stanno facendo il loro dovere :-); vedi grafici sotto relativi agli ultimi 30 giorni:

Vir&Fraud Rilevati

Rapporto Mail - Spam - VIR&Fraud

Potenziamento dei sistemi

2006-09-14T22:41:00.000+02:00

Tutti i sistemi di rilevamento sono stati aggiornati.
Attualmente le e-mail vengono filtrate da 5 Engine AntiVirus tra cui l'ottimo Clamav e l'infallibile Kaspersky.

[Phishing] Nuovo tentativo di frode email

2005-08-13T15:26:00.000+02:00

E' stato rilevato un nuovo tentativo di frode e-mail (phishing).

Dopo i recenti tentativi ai danni di banca intesa e BancoPosta, questa volta sono i clienti della CARIM di Rimini il bersaglio.

Valgono le solite regole: evitate di "seguire i link" inseriti nelle e-mail, soprattutto se vi viene chiesto di inserire il codice utente e password di un servizio di Banca Online

Utile per la prevenzione di questa tipologia di frode è la "ToolBar" di Netcraft.

installatela, meglio se su FireFox di mozilla.

:-)