Virus Windows e Android

Question

Buon giorno

Alcuni giorni or sono (a letto con l’influenza) ho ricevuto sul tablet nell’App “E-mail” di Samsung due email con richiesta urgente di risposta da un mittente che ho ritenuto valido in quanto riportavano in calce il nome e cognome (corretto e conosciuto)  e visto che con lo stesso  ho già avuto contatti per esigenze amministrative.

Le due mail avevano un allegato file .DOC e, vista la premura insita nei testi e confermata da una terza email che sollecitava una risposta, ingenuamente ho scaricato sul tablet (android 7.1.1 con installato antivirus residente Kaspersky for Android) uno dei file .DOC  spostandolo sulla memoria SD  e lo ho aperto con Word per Android, (con avvertenza “versione Doc  precedente …. “ ? ! ) ho provveduto ad attivarlo cliccando ok.

Sorto un tardivo dubbio (purtroppo)  e visto che si trattava di documento inspiegabilmente vuoto ho fatto alcune ricerche in internet scoprendo sciaguratamente che si tratta di tentativo di Phishing.

Ho provveduto a cancellare l’allegato e a fare una scansione totale con antivirus (Kaspesrky residente e  con Malwarebytes installato all’uopo ):  trovato nulla.

Ho quindi provveduto tramite PC a modificare le mie password di accesso ai siti più importanti.

Contattato Kaspersky ho chiesto quali danni può aver causato il virus e come sia stato possibile aprire sul tablet un file contenente virus senza alcun avviso da parte di KS.

Nello stesso giorno ho ricevuto altre due email analoghe dallo stesso mittente (falso) con altrettanti file  .DOC allegati  che ovviamente non ho aperto!

Ho anche fatto un tentativo, tramite PC (WIN 10 Home e Thunderbird),  di trasmettere a KS i file .DOC incriminati per un eventuale esame,  ho cercato quindi di copiare i file .DOC in oggetto su una pendrive senza però riuscirci in quando dopo pochi momenti i file suddetti sparivano dalla pendrive.

Kaspersky mi ha comunque comunicato che se la scansione non ha dato esiti il tablet dovrebbe essere pulito (Falso positivo ?!)

Successivamente verificando col PC  l’attività di Windows Defender Antivirus ho potuto constatare la presenza in “Minacce in quarantena” di cinque segnalazioni di virus:

tre con  “TrojanDownloader:097M/Emotet.OB!MTB”

uno con TrojanDownloader:097M/Emotet.OC!MTB” e

uno con TrojanDownloader:097M/Emotet.OD!MTB”  ;

probabilmente l’impossibilità di copiare i file .DOC derivava dall’intervento di Windows Defender sul file .DOC incriminati.

Fatta ovviamente scansione completa anche del PC con Windows Defender e con Malwarebytes.

Sarei grato se poteste suggerirmi ulteriori azioni oltre a non effettuare altre aperture di file allegati a email senza effettuare controlli molto approfonditi (uso di “sand box” ?).

Potete inoltre chiarirmi i seguenti dubbi :

E’ evidente che si tratta di  trojan che dovrebbero attivare dei downloader, ma è previsto che poi si autodistruggano o comunque non siano rilevabili dagli antivirus KS e MbAM ?

Essendo mascherati in file .DOC è probabile che siano stati  realizzati per operare principalmente in ambiente Windows, ma sono forse in grado di operare anche in ambiente Android  o posso ritenere di aver scampato il pericolo avendolo aperto sul tablet?

E’ possibile vedere quali azioni in particolare effettuano i suddetti virus ?

Grazie per la disponibilità e la pazienza.

Answer 1

No.

Il trojan viene BLOCCATO dagli antivirus PRIMA di poter eseguire qualsiasi azione nel pc (per entrambi i i sistemi Android e Windows).

I TrojanDowloader 097M varie versioni non fanno altro che inoculare script che inviano dati sensibili a server di raccolta ma solo se ENTRANO nel sistema.

Puoi testare eventuali file o links con Virustotal via web:

https://www.virustotal.com/gui/home/upload

Answer 2

Arrivederci.

Answer 3

Grazie di nuovo

Franco Leuzzi  mitico !!

Ora mi sento più tranquillo, per curiosità proverò a fare una ricerca a mezzo Virustotal.

Buon lavoro

Answer 4

Grazie per la celerità e la cortesia

Per il PC Windows ora sono tranquillo (per fortuna W.Defender è tenuto costantemente aggiornato ! ), mi rimane  comunque il dubbio circa l’effettiva attività che potrebbe invece aver svolto lo specifico virus  “TrojanDownloader:097M/Emotet… “  sul tablet con Android e KS.(può KS residente aver comunque bloccato l’attività di  tale virus visto che la successiva scansione non ha rilevato alcun problema ?)

E’ possibile controllare come opera in dettaglio lo specifico virus in argomento?

Scusami per la mia poca conoscenza in argomento.

Buon lavoro

Answer 5

Benvenuto.

Sono semplici trojan che, inoculandosi dopo aver aperto inavvertitamente il file allegato, tentano di carpire dati sensibili come id e password presenti nel sistema (anche Android).

In ogni caso sono tranquillamente rilevati e bloccati da Windows Security Center e non rappresentano una minaccia.

Ricordo che Windows 10 NON necessita di antivirus/firewall esterni che potrebbero creare conflitti e abbassare notevolmente il livello di protezione.

Il Security Center, con il suo controllo in tempo reale, è in grado di bloccare senza difficoltà questo tipo di minacce.

Il consiglio rimane sempre lo stesso.

Gli allegati alle mail vanno aperti SOLO se la mail proviene da mittenti conosciuti e, anche in quel caso, prima SALVARE l'allegato poiché nel momento esatto in cui si clicca destro per salvare scatta il controllo e il blocco in caso di minacce.

Diverso discorso per i links a siti web nelle mail. Meglio copiare il link e incollarlo in un browser aperto in una macchina virtuale o sandbox.

Mai cliccare direttamente sul link.