Selected news item is not available in the requested language.

Italian language proposed.

Close

11/01/2017
17:00

L'APT EyePyramid era già attivo dal 2010 ed è collegato al caso Bisignani del 2011

Il malware EyePyramid scoperto dalla Polizia Postale il 10/01/2017 è ragionevolmente collegato al caso Bisignani sull'inchiesta P4 condotta nel 2011 dal PM Woodcock
[Ultimo aggiornamento del 15/01/2017 12:10]

Il malware EyePyramid individuato dalla Polizia Postale il 10/01/2017 è sicuramente collegato al caso Bisignani del 2011:
Abbiamo analizzato un sample che potrebbe essere stato una delle prime versione dell'APT EyePyramid.

MD5: 47BEA4236184C21E89BD1C1AF3E52C86
Dimensione: 1307648 byte
Data di compilazione: 17/09/2010 08.48.59

Interessante notare che all'interno del malware del 2010 vi sono molte analogie con l'APT EyePyramid descritto nell'ordinanza del Tribunale di Roma del Giudice Dott. Maria Paola Tomaselli.

All'interno del malware vi possiamo trovare lo stesso serial number per la licenza del software MailBee utilizzato da EyePyramid:

MAILBEELICENSE = "MN600-D8102F401003102110C5114F1F18-0E8C";

Prima di procedere con la descrizione del malware EyePyramid del 2010, ri-analizziamo il caso "Bisignani" in base ai fatti deducibili da alcuni articoli de "Il Fatto Quotidiano", in particolar modo dall'articolo di Mercoledì 13 Luglio 2011:  "Bisgnani.exe" Così spiava il faccendiere"

In base all'articolo si deduce che la Procura di Napoli aveva utilizzato una nuova tecnica di intercettazione, attraverso un software spia fornito dalla società CSH & MPS di Palermo. Questo software spia, fornito da CSH & MPS, era stato "infilato" nel computer di Bisignani il primo dicembre 2010.

Il software spia della CSH & MPS permetteva di estrapolare file dal computer di Bisignani. Analizzando i file del computer di Bisignani, si era scoperto che sul desktop del pc era prensente un file denominato: "Bisignani25092010_001.zip".

Il file "Bisignani25092010_001.zip", si è rilevato essere un software spia aventi le stesse funzionalità utilizzate da CSH & MPS, con data del 25 settembre 2010.

Molto probabilmente il software spia contenuto nel file "Bisignani25092010_001.zip" è la release di EyePyramid del 17/09/2010 che abbiamo preso in esame.

Nell'articolo "Bisgnani.exe" Così spiava il faccendiere", secondo gli inquirenti si desume che fosse Bisignani l'utilizzatore del programma spia "Bisignani25092010_001.zip" (aka EyePyramid), anche se nell'articolo viene riportato questo:
"Bisignani aveva attivato nel suo computer un programma di spionaggio gemello di quello usato dai pm Henry John Woodcock e Francesco Curcio per intercettare mail, documenti e persino le telefonate."

Aveva attivato o era attivo il programma spia "EyePyramid" ?
Da quello che possiamo dedurre leggendo gli articoli del 2011 (non disponendo degli atti giudiziari), quindi basandoci solamente su articoli e analisi dei malware, ci potrebberero essere 2 ipotesi sul caso "Bisignani":
  1. Bisignani utilizzava EyePyramid per spiare (ipotesi accreditata dai pm WoodCook e Curcio in base alle informazioni riportate dagli articoli)
  2. Bisignani era spiato da EyePyramid
Noi propendiamo più per l'ipotesi che Bisignani era spiato da EyePyramid, basandoci sul fatto, come indicato nell'ordinanza del Tribunale di Roma del Giudice Dott. Maria Paola Tomaselli, EyePyramid era utilizzato in primis da Occhionero per spiare la confraternita massonica.

E' interessante notare che il computer di Bisignani era spiato non solo da EyePyramid ma anche dal software della CSH & MPS, società di Palermo, che secondo le indiscrizioni di Wikileaks, comprava software spia da Hacking Team.

L'11 Gennaio 2017, Luigi Bisignani ha commentato su "Il Tempo" con l'articolo "Cavalli di Trojan" il caso "EyePyramid", senza però sbilanciarsi sull'accaduto ma tralasciando probabilmente qualche ipotesi.

Detto tutto ciò, possiamo procedere con la descrizione di EyePyramid versione 2010.

Nella versione del 2010 di EyePyramid, il malware si appoggia principalmente al dominio: dav.messagingengine.com
e utilizzava le seguenti credenziali per accedervi:

WEBUSERNAME = "guess515@fastmail.fm";
WEBPASSWORD = "ossgetit";

In questo momento l'account non risulta essere attivo.

L'host utilizzato da EyePyramid era usato anche per fare upgrade del modulo MailBee.NET.dll attravero la pagina:
https://dav.messagingengine.com/guess515.fastmail.fm/files/replace

Dal dominio "https://dav.messagingengine.com/guess515.fastmail.fm" eseguiva diverse operazioni, come:
  • scaricare certificati: https://dav.messagingengine.com/guess515.fastmail.fm/files/decepk.dat (password: Q6a8+uMg)
  • scaricare nuovi moduli:
    • https://dav.messagingengine[.]com/guess515.fastmail.fm/files/ghk.exe
    • https://dav.messagingengine[.]com/guess515.fastmail.fm/files/run.exe
  • scaricare altri file: https://dav.messagingengine.com/guess515.fastmail.fm/files/tasks.dat
  • accedere alle seguente cartelle:
    • https://dav.messagingengine.com/guess515.fastmail.fm/files/jobs
    • https://dav.messagingengine.com/guess515.fastmail.fm/files/jobs/ 44dc7eceb2719abfaac5b2c684d05c35
    • https://dav.messagingengine.com/guess515.fastmail.fm/files/jobs/ 3261cc389d6ef8f0a8c6a6212829effd
In questa versione sono utilizzati i seguenti account di posta elettronica:
  • tim11235@gmail.com
  • plars575@gmail.com
  • purge626@gmail.com
  • tip848@gmail.com
  • dude626@gmail.com
  • octo424@gmail.com
Gli ultimi 4 account purge626@gmail.com; tip848@gmail.com; dude626@gmail.com e octo424@gmail.com sono riportati nell'ordinanza del Giudice Dott.ssa Maria Paola Tomaselli, l'account tim11235@gmail.com è indicato nell'articolo "Bisgnani.exe" Così spiava il faccendiere, invece l'account plars575@gmail.com non risulta essere ancora stato menzionato da altre fonti.


Le informazioni carpite venivano inviate in 2 modi:
  • server c/c https://dav.messagingengine.com/guess515.fastmail.fm
  • mail: purge626@gmail.com; tip848@gmail.com; dude626@gmail.com e octo424@gmail.com
Il malware sceglieva casualmente un indirizzo mail tra i 4 (purge626@gmail.com; tip848@gmail.com; dude626@gmail.com e octo424@gmail.com). L'indirizzo  scelto veniva utilizzato come mittente e destinatario, il messaggio veniva cifrato con l'algorimo 3DES, ed inviato via porta 587 attraverso il server smtp.gmail.com.
Gli indirizzi di posta elettronica citati risultano essere ancora attivi.

Interessante notare che via mail poteva ricevere comandi per eseguire delle operazioni.
I comandi venivano memorizzati nell'header del messaggio con i seguenti tag:
  • X-Sars-Z: nome file zip da creare
  • X-Sars-E: nome file da zippare
  • X-Sars-F: lista nomi di file separati da ";"
Questi comandi gli permetteno di creare un file zip con il nome indicato da X-Sars-Z, nel file zippato viene inserito il file indicato da X-Sars-E.
Il comando X-Sars-F aggiunge file all'archivio zip creato, prelevando i file dalla cartella %system32% di Windows. Questi file dovevano avere una dimensione compresa tra i 50000 e i 200000 byte. Rimane oscuro lo scopo di quest'ultimo comando.

Il modulo per la gestione del server C&C gli permetteva di eseguire le seguenti operazioni:
  • Cifrare uno stream di dati con 3DES e fare l'upload verso il server C&C
  • Eseguire il download di nuovi aggiornamenti/file e decifrarli con 3DES
  • Download del certificato: https://dav.messagingengine.com/guess515.fastmail.fm/files/decepk.dat
L'accesso al server di C&C poteva avvenire anche via FTP con l'invio del comando "DELE" per cancellare un determinato file.

L'aggiornamento dei nuovi moduli avveniva attraverso un thread con cui eseguiva la verifica dell'aggiornamento con un tempo variabile tra i 13 e 19 minuti, i file richiesti erano:
  • https://dav.messagingengine[.]com/guess515.fastmail.fm/files/RUN.EXE
  • https://dav.messagingengine[.]com/guess515.fastmail.fm/files/GHK.EXE
Se erano disponibili nuovi aggiornamenti scaricava quei file e li eseguiva nel computer della vittima.

Inoltre il malware cancellava i seguenti file:
  • ikrext.exe
  • imedev.exe
  • ipartx.exe
  • jawrb.exe
  • jebzmh.exe
  • jidlq.exe
  • jovqg.exe
  • jrfgmy.exe
  • juwqp.exe
  • kavbp.exe
  • kiqwbv.exe
  • videxp.exe
  • vidhdw.exe
  • vrtdrv.exe
  • wdwapl.exe
  • wexprc.exe
  • winlng.exe
  • winxdrv.exe
  • wsndxp.exe
  • wxrun.exe
  • xddrv.exe
  • xdwdrv.exe
  • xpadp.exe

Oltre ad eseguire moduli del malware, installava componenti del framework come:
  • NetFx20SP1_x86.exe
  • dotnetfx3setup.exe
  • dotnetfx30SP1setup.exe
  • dotNetFx35setup.exe
  • NDP1.1sp1-KB867460-X86.exe
  • dotnetfx.exe

Il malware controllava la presenze di 64 prodotti di sicurezza:
\Alice Total Security
\AhnLab
\Alwil Software
\Ashampoo
\AVG
\avira
\bitdefender
\BullGuard Ltd
\CA
\CCleaner
\ClamWin
\ClamAV for Windows
\Comodo
\DriveSentry Security Suite
\DrWeb
\Emsisoft Anti-Malware
\Eset
\Faronics
\FRISK Software
\Fortinet
\fsi
\f-secure
\G Data
\Grisoft
\IKARUS
\Immunet Protect
\INCAInternet
\kaspersky lab
\Lavasoft
\Malwarebytes
\Malwarebytes' Anti-Malware
\McAfee
\Microsoft Security Essentials
\network associates
\Norman
\norton antivirus
\norton internet security
\norton security scan
\norton 360
\Panda Security
\PC Tools Antivirus
\Quick Heal
\Rising
\SafeCentral
\Softwin
\Sophos
\SPAMfighter
\Spybot - Search & Destroy
\SpyShredder
\spyware doctor
\Spyware Terminator
\Sunbelt Software
\Symantec
\Symantec AntiVirus
\Symantec Shared
\ThreatFire
\Trend Micro
\TrustPort
\UAV
\Vba32
\Virusbuster
\Webroot
\Windows Defender
\zone labs

Eseguiva varie operazioni per modificare il file di registro di Windows, ad esempio per modificare le impostazioni del Firewall di Windows.

Elenco delle estensioni dei documenti da cercare:
  • *.doc
  • *.xls
  • *.pdf
  • *.ppt
  • *.pps
Altro elenco di file da cercare:
*.bmp
*.cab
*.cer
*.chm
*.config
*.csv
*.ctt
*.dbx
*.der
*.doc
*.docx
*.eml
*.exe
*.gif
*.gz
*.hlp
*.htm
*.html
*.ico
*.inf
*.ini
*.jpg
*.key
*.log
*.manifest
*.mdb
*.msg
*.msi
*.pdf
*.pfx
*.png
*.ppt
*.pps
*.pst
*.rar
*.rtf
*.tif
*.txt
*.vbe
*.vbs
*.wab
*.wmf
*.wri
*.xls
*.xml
*.zip

All'interno del malware le stringhe presenti sono cifrate con l'algoritmo 3DES.
Tabelle delle stringhe cifrate con 3DES (sono state omesse le password dei 6 account di GMAIL utilizzati dal malware):

WinForms_RecursiveFormCreate
WinForms_SeeInnerException
0.0.0.0
192.168.
10.
Set-Cookie
Libero=
:*:Enabled:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
guess515@fastmail.fm
ossgetit
CONFIGURATION
.xml
.zip
purge626@gmail.com;tip848@gmail.com;dude626@gmail.com;octo424@gmail.com
smtp.gmail.com
purge626@gmail.com;tip848@gmail.com;dude626@gmail.com;octo424@gmail.com
deletes
\Microsoft\Outlook;
\Identities;
replacements
requests
wipedirs
QUEUE
purge626@gmail.com;tip848@gmail.com;dude626@gmail.com;octo424@gmail.com
smtp.gmail.com
purge626@gmail.com;tip848@gmail.com;dude626@gmail.com;octo424@gmail.com
.zip
reqcol
deletes
deletes
replacements
replacements
.dll
.exe
.reg
.tmp
.xml
.zip
\ApplicationHistory
\ApplicationHistory
#,#
#,#
 U/T
{0:yyyyMMdd-HHmmss}
]
commands
rudeletekeynames
windll
rudeletekeynames
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Run
rudeletekeynames
rmdeletekeynames
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
rmdeletekeynames
vmgr.exe
guess515@fastmail.fm
ossgetit
commands
commands
root\CIMV2
SELECT * FROM Win32_ComputerSystemProduct
Vendor
Name
IdentifyingNumber
UUID
root\CIMV2
SELECT * FROM Win32_ComputerSystem
NumberOfProcessors
PrimaryOwnerName
SystemType
TotalPhysicalMemory
root\CIMV2
SELECT * FROM Win32_OperatingSystem
Caption
CSDVersion
EncryptionLevel
InstallDate
LastBootUpTime
NumberOfUsers
SerialNumber
*.doc
*.xls
*.pdf
*.ppt
*.pps
*.bmp
*.cab
*.cer
*.chm
*.config
*.csv
*.ctt
*.dbx
*.der
*.doc
*.docx
*.eml
*.exe
*.gif
*.gz
*.hlp
*.htm
*.html
*.ico
*.inf
*.ini
*.jpg
*.key
*.log
*.manifest
*.mdb
*.msg
*.msi
*.pdf
*.pfx
*.png
*.ppt
*.pps
*.pst
*.rar
*.rtf
*.tif
*.txt
*.vbe
*.vbs
*.wab
*.wmf
*.wri
*.xls
*.xml
*.zip
 /t /e /c /r "
"
 /t /e /c /d "
"
\Alice Total Security
\AhnLab
\Alwil Software
\Ashampoo
\AVG
\avira
\bitdefender
\BullGuard Ltd
\CA
\CCleaner
\ClamWin
\ClamAV for Windows
\Comodo
\DriveSentry Security Suite
\DrWeb
\Emsisoft Anti-Malware
\Eset
\Faronics
\FRISK Software
\Fortinet
\fsi
\f-secure
\G Data
\Grisoft
\IKARUS
\Immunet Protect
\INCAInternet
\kaspersky lab
\Lavasoft
\Malwarebytes
\Malwarebytes' Anti-Malware
\McAfee
\Microsoft Security Essentials
\network associates
\Norman
\norton antivirus
\norton internet security
\norton security scan
\norton 360
\Panda Security
\PC Tools Antivirus
\Quick Heal
\Rising
\SafeCentral
\Softwin
\Sophos
\SPAMfighter
\Spybot - Search & Destroy
\SpyShredder
\spyware doctor
\Spyware Terminator
\Sunbelt Software
\Symantec
\Symantec AntiVirus
\Symantec Shared
\ThreatFire
\Trend Micro
\TrustPort
\UAV
\Vba32
\Virusbuster
\Webroot
\Windows Defender
\zone labs
ikrext
imedev
ipartx
jawrb
jebzmh
jidlq
jovqg
jrfgmy
juwqp
kavbp
kerzll
kiqwbv
Desaware.shcomponent20.dll
dwshengine80.dll
\grep.dat
videxp
vidhdw
vrtdrv
wdwapl
wexprc
winlng
winxdrv
wsndxp
wxrun
xddrv
xdwdrv
xpadp
\wincd.dat
out.alice.it
mail.libero.it
smtp.fastwebnet.it
smtp.tiscali.it
mail.mclink.it
Received
X-EM-Registration
X-EM-Version
X-Receiver
X-Sars-E
X-Sars-F
X-Sars-Z
X-Sender
http://www.libero.it
http://www.inwind.it
http://www.iol.it
https://dav.messagingengine.com/guess515.fastmail.fm/files/configuration/
.xml
.xml
MN600-D8102F401003102110C5114F1F18-0E8C
MN600-D8102F401003102110C5114F1F18-0E8C
MN600-D8102F401003102110C5114F1F18-0E8C
MN600-D8102F401003102110C5114F1F18-0E8C
run.exe
ghk.exe
PUT
PUT
root\CIMV2
SELECT * FROM Win32_OperatingSystem
SerialNumber
SerialNumber
root\CIMV2
SELECT * FROM Win32_OperatingSystem
LastBootUpTime
\\root\\cimv2
Select * from Win32_Session
LogonType
StartTime
shutdown /r /f /t 0
NET TIME /set /yes
guess515@fastmail.fm
ossgetit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
commands
commands
https://dav.messagingengine.com/guess515.fastmail.fm/files/
guess515@fastmail.fm
ossgetit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
000
000
.zip
.zip
https://dav.messagingengine.com/guess515.fastmail.fm/files/replace/
guess515@fastmail.fm
ossgetit
*.*
cacls.exe "
" /t /e /c /d system
cacls.exe "
" /t /e /c /d users
cacls.exe "
" /t /e /c /d administrators
cacls.exe "
" /t /e /c /g administrators:f
cacls.exe "
" /t /e /c /g users:f
cacls.exe "
" /t /e /c /g system:f
cacls.exe "
"
*.*
:
X-Mailer
:
X-Mailer
.reg
default.reg
regedit.exe /s "
"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\
HKEY_CURRENT_USER
HKEY_CLASSES_ROOT\
HKEY_CLASSES_ROOT\
HKEY_CURRENT_USER
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE\
HKEY_LOCAL_MACHINE\
HKEY_USERS\
HKEY_USERS\
HKEY_CURRENT_CONFIG\
HKEY_CURRENT_CONFIG\
.reg
regedit.exe /s "
"
Windows Registry Editor Version 5.00
]
"
"=-
.reg
regedit.exe /s "
"
Windows Registry Editor Version 5.00
]
"
"=
"
"
HKEY_CLASSES_ROOT\
HKEY_CLASSES_ROOT\
HKEY_CURRENT_USER
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE\
HKEY_LOCAL_MACHINE\
HKEY_USERS\
HKEY_USERS\
HKEY_CURRENT_CONFIG\
HKEY_CURRENT_CONFIG\
HKEY_CLASSES_ROOT\
HKEY_CLASSES_ROOT\
HKEY_CURRENT_USER
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE\
HKEY_LOCAL_MACHINE\
HKEY_USERS\
HKEY_USERS\
HKEY_CURRENT_CONFIG\
HKEY_CURRENT_CONFIG\
Software\Microsoft\Windows\CurrentVersion\Run
Software\Microsoft\Windows\CurrentVersion\Run
PUT
DELE
.exe
https://dav.messagingengine.com/guess515.fastmail.fm/files/
http://
https://
HKEY_LOCAL_MACHINE\Software\Microsoft\NET Framework Setup\NDP\v1.1.4322
SP
NDP1.1sp1-KB867460-X86.exe
http://download.microsoft.com/download/8/b/4/8b4addd8-e957-4dea-bdb8-c4e00af5b94b/NDP1.1sp1-KB867460-X86.exe
 /I /Q
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v2.0.50727
Install
dotnetfx.exe
http://download.microsoft.com/download/5/6/7/567758a3-759e-473e-bf8f-52154438565a/dotnetfx.exe
 /q:a /c:"install /q"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v2.0.50727
SP
NetFx20SP1_x86.exe
http://download.microsoft.com/download/0/8/c/08c19fa4-4c4f-4ffb-9d6c-150906578c9e/NetFx20SP1_x86.exe
 /Q
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v3.0\Setup
InstallSuccess
dotnetfx3setup.exe
http://download.microsoft.com/download/4/d/a/4da3a5fa-ee6a-42b8-8bfa-ea5c4a458a7d/dotnetfx3setup.exe
 /q
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v3.0
SP
dotnetfx30SP1setup.exe
http://download.microsoft.com/download/4/9/0/49001df1-af88-4a4d-b10f-2d5e3a8ea5f3/dotnetfx30SP1setup.exe
 /Q
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v3.5
Install
dotNetFx35setup.exe
http://download.microsoft.com/download/7/0/3/703455ee-a747-4cc8-bd3e-98a615c3aedb/dotNetFx35setup.exe
 /q /norestart
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v3.5
SP
dotnetfx35setup.exe
http://download.microsoft.com/download/0/6/1/061F001C-8752-4600-A198-53214C69B51F/dotnetfx35setup.exe
 /Q
run.exe
\conf.xml
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
https://dav.messagingengine.com/guess515.fastmail.fm/files/
guess515@fastmail.fm
ossgetit
guess515@fastmail.fm
ossgetit
.exe
.exe
{0:yyyyMMdd-HHmmss}
{0:yyyyMMdd-HHmmss}
https://dav.messagingengine.com/guess515.fastmail.fm/files/decepk.dat
guess515@fastmail.fm
ossgetit
Q6a8+uMg
PUT
е
о
р
а
х
с
Е
Т
О
Р
А
Н
Х
С
В
М
е
о
р
а
х
с
Е
Т
О
Р
А
Н
Х
С
В
М
,
,
\\
x2
?
\
"
.exe*
.zip
.exe
X-Sars-Z
X-Sars-Z
X-Sars-E
X-Sars-E
X-Sars-F
X-Sars-E
X-Sars-F
X-Sars-Z
Received
Received
.eml
.eml
yyyy
MM
dd
yyyy
MM
dd
yyyy
MM
dd


Questa non vuole essere una analisi approfondita dell'APT EyePyramid, ma solamente una breve descrizione di una possibile versione di questo malware realizzato nel 2010.



Autore: Gianfranco Tonello
 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: