Basso consumo

Finalmente abbiamo sostituito i vecchi server con nuovi sistemi basati su piattaforma VIA e VMWare server.

I nuovi "hardware"sono stati scelti per dimuinre i consumi energetici e ridurre i costi globali della piattaforma.

Inoltre grazie a VMware Server siamo ora in grado di ripristinare "Velocemente" la normalità dei sistemi in caso di "grave crash".

Manutenzione straordinaria

Ho individuato il problema che ha causato il crash di qualche giorno fa e l'instabilità dei nuovi sistemi in certe situazioni.
Questa notte dalle 01.00 alle 02.00 tutti i servizi non saranno disponibili causa lavori.
Sarà una lunga nottata, ma conto di sistemare tutto entro domani mattina.

Buona notte :-(

Computer Crash

Questa notte si è verificato un "computer crash":-(!
I sistemi non sono stati disponibili dalle 12.00 fino alle 09.00, poi sono stati ripristinati ed ora tutto funziona regolarmente.

Buona giornata

Nuovi servizi eMMeBOX

Questa notte ho completato la migrazione dei servizi eMMeBOX su nuovi sistemi.

Presto riceverete informazioni su come usufruire delle nuove funzionalità.

Enjoy eMMe BOX Mail

Problemi di collegamento

Segnaliamo la presenza di problemi intermittenti sul collegamento internet dei nostri sistemi.
Le anomalie sono state prontamente segnalate e siamo in attesa di una loro risoluzione.

Bravo FireFox

Solite mail di phishing ai danni delle utenze di poste italiane...
seguo le indicazioni ricevute in mail (VOI EVITATE) e ecco il buon FireFOX sconsigliarmi di visitare il sito !

Falso video ASX con MALWARE

Eccoli di nuovo! Quelli del finto CODEC!
Sono in circolazione mail tipo questa:

"Ciao Ragazzi, non mi sono scordato della promessa di Sabato sera... Ecco il video de Fiorella! Non mi importa se lo scopre, visto che lei non ha avuto nessun problema a scoparsi 7 uomini assieme. Quindi se volete farlo girare no problem ok? http://jrb.freemoviepro.com/LinkVeroRimosso.asx
Ciao a presto!
Gianni A. Perutti"

Evitate come al solito di cliccare sui link forniti nelle e-mail "strane" e non "attese".
Se invece malauguratamente cliccate, vi sarà chiesto di effettuare un upgrade dei CODEC per permettervi la visualizzazione corretta del filmato!
NON FATELO PERCHE' E' IL SOLITO MALWARE!
Ecco il risultato della sottomissione a VirusTotal:

Antivirus	Versione	Ultimo aggiornamento	Risultato
AhnLab-V3	2007.11.19.0	2007.11.19	-
AntiVir	7.6.0.34	2007.11.19	TR/Dldr.Agent.fas
Authentium	4.93.8	2007.11.19	-
Avast	4.7.1074.0	2007.11.19	-
AVG	7.5.0.503	2007.11.19	Downloader.Agent.VGB
BitDefender	7.2	2007.11.19	-
CAT-QuickHeal	9.00	2007.11.19	TrojanDownloader.Agent.fas
ClamAV	0.91.2	2007.11.19	-
DrWeb	4.44.0.09170	2007.11.19	-
eSafe	7.0.15.0	2007.11.14	suspicious Trojan/Worm
eTrust-Vet	31.3.5308	2007.11.19	-
Ewido	4.0	2007.11.19	-
FileAdvisor	1	2007.11.19	-
Fortinet	3.11.0.0	2007.11.19	-
F-Prot	4.4.2.54	2007.11.19	-
F-Secure	6.70.13030.0	2007.11.19	Trojan-Downloader.Win32.Agent.fas
Ikarus	T3.1.1.12	2007.11.19	not-a-virus:Dialer.Win32.Agent.d
Kaspersky	7.0.0.125	2007.11.19	Trojan-Downloader.Win32.Agent.fas
McAfee	5166	2007.11.19	-
Microsoft	1.3007	2007.11.19	-
NOD32v2	2670	2007.11.19	-
Norman	5.80.02	2007.11.19	W32/Agent.DHJE
Panda	9.0.0.4	2007.11.18	-
Prevx1	V2	2007.11.19	Trojan.Dropper
Rising	20.19.00.00	2007.11.19	-
Sophos	4.23.0	2007.11.19	Mal/Emogen-G
Sunbelt	2.2.907.0	2007.11.17	VIPRE.Suspicious
Symantec	10	2007.11.19	-
TheHacker	6.2.9.134	2007.11.19	Trojan/Downloader.Agent.fas
VBA32	3.12.2.5	2007.11.19	suspected of Downloader.Small.51 (paranoid heuristics)
VirusBuster	4.3.26:9	2007.11.19	Packed/Exe32Pack
Webwasher-Gateway	6.0.1	2007.11.19	Virus.Win32.FileInfector.gen
Informazioni addizionali
File size: 88782 bytes
MD5: 1cd5f730e192b2d284d103b0ea57273c
SHA1: f94cee6eeac7c7185d6e26ccc91421a7f7662559
packers: UPX
packers: UPX, EXE32Pack
packers: Exe32Pack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=3BDF86D0CE0208545A50016A12607300427D95AE
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Continua la ricezione di malware (exe on ZIP)

Il corpo della mail è simile a questo:

"Hello, Friend! "In the current environment where I found super flash game!so many parents Naked Milla Jovovich in your attachment... Very sexy... Enjoy! has manybenefits. Bye. as a requirement better off said Gervasio, Ginsburg,the report's lead author and and parents alike. "true toys" beneficialbut should not be viewed academy report says. children are plopped in academy committees for resists son in particular has for creating ismore good, he not be on par "

l'allegato presente è un EXE (compresso tramite ZIP) che sottomesso a virustotal da questo risultato:

Navigazione WEB sempre più a rischio

Domenica scorsa, partendo dal sito di repubblica sono stato dirottato su sito di un falso antivirus: protezionesoft.com... e dopo poco appare un pop-up:

"Il tuo PC è a rischio e non è ottimizzato per la navigazione sul WEB" ...

Se vi imbattete anche voi in sciocchezze simili, non credete alle indicazioni che vi vengono date e "andate oltre"... non cadete nei tranelli!

Ho sottomesso il programma da loro distribuito, su virustotal e veniva riconosciuto da tre o quattro produttori di software di sicurezza., come software indesiderato!

Oggi ho ripetuto il test partendo direttamente dal sito protezionesoft.com.

Il pericolo è ancora esistente anche se il sito ha cambiato un pò l'aspetto...!

Phishing banca di ...

Solite mail di "phishing"!
Ecco il messaggio con i soliti errori di ortografia:

"Gentile Cliente, Il codice segreto del suo conto on-line e stato inserito incorretto piu di tre volte.Per proteggere suo conto abbiamo sospeso il acceso.Per recuperare il acceso prego di entrare completare la pagina di attivazione.Grazie ancora per aver scelto i servizi on-line di Banca di Roma.I migliori saluti.Servizio Clienti Banca di Roma"

mi raccomando non abboccare e non fare nulla di quanto indicato.

Se si clicca sul link proposto, compare una pagina web (FALSA) della banca indicata.

Da notare che il phisher sta utilizzando gli stessi server (posizionati in KOREA TELECOM e Hanaro Telecom KR) per tentare frodi ai danni di Banca di Roma e Banco di Sicilia.

Problemi al Link internet risolti

Da questa mattina i problemi al link internet di NGI dovrebbero essere risolti.
I servizi eMMeBOX - noBADMail sono nuovamente online!
Buona giornata

Caduta link di raccolta BOLOGNA

Purtroppo pare ci siano IMPORTANTI PROBLEMI di collegamento Internet per la zona di Bologna (F5 NGI)

Attualmente i servizi eMMeBOx - noBADMail non sono quindi utilizzabili.
Nell'attesa di una risoluzione, da parte dei tecnici NGI, potete utiizzare questa pagina per monitorare la situazione.

Bancoposta .. phishing in aumento

"Il reparto in linea della banca sta chiedendogli di partecipare ad una prova corta che consistedi 5 domande. Nello scambio riceverete 50 E in vostro conto – per il vostro tempo (10 E per ladomanda). Con le informazioni riunite potremo fare una serie dei cambiamenti e l'ingrandimento dei nostri servizi. Le informazioni fornite saranno sicuri e confidenziali. Rimarrano nella nostra basedi dati per 7 giorni nel frattempo che porteremo attualizzare i risultati della prova."



Questo è il testo di un'ulteriore tentativo di phishing orientato alle utenze di bancoposta. Se incautamente cliccate il link contenuto nella mail, arrivate ad una pagina web dove, dopo alcune domande, vi viene chiesto di inserire la vostra username, password e codice di sicurezza.

Evitare accuratamente :-)

Attenti al pirata

"Pirates of the Caribbean: At World's End"; è il Subject della mail che contiene un programma compresso (ZIP) che si spaccia come Trailer dell'omonimo film il proiezione nelle sale.
Al momento viene riconosciuto come:
Ikarus
T3.1.1.8
05.25.2007
Backdoor.Win32.Prorat.19.i

Sunbelt
2.2.907.0
05.24.2007
VIPRE.Suspicious

Nessun problema per le caselle eMMeBOX - noBADMail

Phishing Bancoposta ... continua

Continua da parecchio tempo il flusso di mail contenti tentativi di phishing verso gli utenti di poste.it e il loro servizio BancoPosta.

Per impedire che il sito WEB, contenente le pagine falsificate, venga chiuso prima di raccogliere un numero adeguato di vittime, viene ora utilizzata una tecnica "simpatica".

Si usano sistemi compromessi come ad esempio il vostro pc di casa, o il vostro server in ufficio, e si istallano un WEBServer (se non già presente) e altri applicativi, poi si inviano migliaia e migliaia di mail contenente il link al server compromesso.
il proprietario del sistema compromesso diventa inconsapevolmente "complice" del tentativo di Phishing.

Date un'occhio qua:
http://ip-190-130.sn2.eutelia.it/%20%20/postenew/index.htm
e poi verificate cosa si trova in Home Page :-(
http://ip-190-130.sn2.eutelia.it
Al momento sto cercando di contattare il WEBMaster per fargli mettere Offline il WEBServer.

Vi ricordo che sul sito Bancoposta sono indicate le regole base per non "farsi fregare"

Mail proveniente da polizia di stato? #2

Sembra che l'invio di mail, contenenti malware, che si spacciavano come provenienti dalla polizia di stato, sia stato rilevante. Se ne parla oggi anche su Punto-Informatico

Mail proveniente da polizia di stato?

Stiamo rilevando, a partire dalle 00.13 di oggi, parecchie mail che sembrano provenire dalla polizia di stato.

Questi sono alcuni esempi dei mittenti utilizzati:

priscomaz@poliziadistato.it_
prisco_ma@poliziadistato.it_
pris_mazzi@poliziadistato.it_

Sono in realtà i soliti malintenzionati che tentano, tramite tecniche di ingegneria sociale, di infettare il vostro PC.
Se ne parla in maniera più approfondita sul sito PCalSicuro e AttivissimoBlog
Nessun problema per le caselle eMMeBOX - noBadMail

Attenzione alle e-mail che si spacciano provenire poste.it

Continuano ad arrivare sui nostri sistemi di posta, mail di phishing destinate alle utenze dei conti bancoposta o carte postepay.

Riportiamo ad esempio il testo di una di queste email fraudolente:

"Gentile Cliente, nell'ambito di un progetto di verifica dei dati anagrafici forniti durante la sottoscrizione dei servizi di Posteitaliane è stata riscontrata un'incongruenza relativa ai dati anagrafici in oggetto da Lei forniti al momento della sottoscrizione contrattuale.
L'inserimento dei dati alterati può costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P art.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in autocertificazione.
Per ovviare al problema è necessaria la verifica e l'aggiornamento dei dati relativi all'anagrafica dell'Intestatario dei servizi Postali.
E' possibile effettuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro.
Cordiali Saluti"

Nel caso riceviate una di queste segnalazioni, evitate accuratamente di seguire le indicazioni fornite; eventualmente fate riferimento diretto ai numeri di CallCenter di Poste.it per togliervi ogni dubbio.

nessun problema per le caselle eMMeBOX - nobadMail

Problema di sicurezza con documenti word

E' stata segnalata la presenza di una nuova vulnerabilità in Word 2000.
Un malintenzionato potrebbe inviarvi un file .DOC per cercare di compromettere le vostre postazioni.

"In order for this attack to be carried out, a user must first open a malicious Word file attached to an e-mail or otherwise provided to them by an attacker"

Ulteriori informazioni sul sito Microsoft

Nuovo attacco malware in corso

E' in corso da qualche ora un nuovo attacco malware basato su file di tipo ASX.
Appena possibile fornirò una descrizione più dettagliata.
Le caselle eMMeBOX - noBADMail sono comunque protetto anche se NESSUN PRODOTTO ANTIVIRUS al momento rileva il problema.

- aggiornamento 22-12-06 11:30
i file ASX contengono un link ad un programma (compresso con EXEPack registrato per revenge2k5) che tenta di spacciarsi come un codec.
una volta eseguito viene utilizzato l'account di Outlook Express trovato sul PC per creare una mail che viene inviata ai propri destinatari abituali; viene anche utilizzata la firma normalmente utilizzata dai propri messaggi.
il malware evita di inviare mail alle caselle di domini particolari tra cui:
*police.it
*poliziadistato.it
*polstrada.it
*poliziamunicipale.it
*polmunicipalemartina.it
*munipol.it
*polizia.it
*carabinieri.it
*attivissimo.net
*serviziinformazionesicurezza.gov.it*
*sisde.it
*governo.it
*palazzochigi.it

- aggiornamento 22-12-06 11:43
sul blog di PC-alSicuro è presente un post che parla di questo malware