|
 ATTENZIONE
AI VIRUS NELLE @MAIL
Mercoledì
28 Novembre 2001
Stanno
circolando in questi giorni delle @mail che hanno un mittente conosciuto a
chi le riceve e come oggetto "Re", (sigla che indica una
risposta ad una @mail già inviata). Sembrano
innocue ma appena ci si posiziona sopra con il cursore provocano una serie
di problemi al proprio pc determinando un notevole dispendio di tempo per
ripristinare tutto allo stato iniziale. A tal proposito, pubblichiamo di
seguito un articolo più dettagliato tratto dal sito http://punto-informatico.it/p.asp?i=38203&p=2
e segnalatoci da F.Calcagnile:
Virus/
Badtrans non ferma la sua corsa
A
quattro giorni dalla scoperta del worm, il codicillo non accenna a
rallentare la velocità epidemica. Sale la preoccupazione, appelli agli
utenti
Un
worm sottovalutato?
28/11/01 - News
-
Roma - Pare proprio che MessageLabs avesse visto lungo quando, l'altro
ieri, aveva avvertito che l'epidemia
di Badtrans sui sistemi Windows avrebbe potuto andare ben più in là
del temuto. Proprio ieri pomeriggio, infatti, anche Symantec ha innalzato
a livello 4 la soglia di attenzione per un worm che si sta producendo in
una cavalcata di diffusione che ricorda da vicino quanto accadde in tempi
recenti con SirCam.
Già, perché
fino a ieri si riteneva che Badtrans, emerso sabato scorso, avrebbe
seguito la curva di diffusione della stragrande maggioranza dei worm, con
infezioni diffuse soprattutto nelle prime 48 ore dall'infezione. Ma non è
stato così. Con la riapertura degli uffici il lunedì mattina in Europa
(ma segnalazioni arrivano anche dal nord e dal sud America), il worm ha
trovato terreno fertile per crescere e moltiplicarsi ed ha quindi
accresciuto la propria onda d'urto.
Una delle ragioni di
quanto sta accadendo risiede nelle modalità di diffusione del virus, che
nella versione più diffusa si presenta con un allegato capace di
auto-eseguirsi all'apertura del messaggio di posta elettronica che lo
contiene. Ma questo avviene, ben inteso, solo sulle macchine di quegli
utenti che utilizzano sistemi di preview del messaggio prima della sua
apertura o, nel caso dell'uso di Outlook e Outlook Express, non abbiano
applicato patch
disponibili già da mesi in rete. Non solo, chiunque disponga di un
buon antivirus aggiornato nelle scorse ore dovrebbe trovarsi al sicuro da
qualsiasi rischio di infezione.
Un altro aspetto caratteristico del worm che rende più difficile il suo
"blocco" è la modifica che compie sugli indirizzi email dai
quali viene diffuso. Quando una macchina viene infettata, infatti, tende a
spedire una copia di Badtrans a tutti gli indirizzi che si trovano sul
computer. Ma l'indirizzo mittente del messaggio non è quello dell'utente
colpito dal worm perché a questo viene premesso un underscore
"_". Questo fa sì che se si risponde a chi ha inviato il virus
per avvertirlo di quanto ha combinato e non si toglie l'underscore
dall'indirizzo, l'email non viene recapitata e dunque l'avvertimento non
raggiunge la sua meta.
Non contento, il worm si presenta in messaggi che hanno per subject
soltanto "Re:" e chi riceve molti messaggi di posta elettronica
può facilmente sbagliare e avviare senza volere l'attività del virus.
Mentre scriviamo,
Symantec dà la diffusione del virus come al livello più alto degli
ultimi tempi con l'eccezione, come detto, di quanto ha combinato nella sua
prima settimana di attività il celebre e ancora
diffuso SirCam.
E alla redazione di
Punto Informatico arrivano numerose segnalazioni di utenti che affermano
di avere le mailbox addirittura intasate da questo virus.
L'epidemia di Badtrans arriva, tra l'altro, in un momento reso ancora più
delicato dalla rapidissima evoluzione di un altro worm, Aliz, che secondo
gli osservatori antivirus sta
conoscendo una nuova spirale di espansione epidemica. I labs di
Symantec, i SARC, addirittura pongono la diffusione di Aliz allo stesso
livello di quella di Badtrans. Un livello che non viene sposato da altri
produttori antivirus ma che comunque induce alla massima prudenza nella
gestione della posta elettronica in queste ore.
Di seguito come
funziona il worm Badtrans e cosa fare per difendersi
"W32.Badtrans.B@mm"
sta dimostrando in queste ore di essere un codicillo che non va
sottovalutato.
Riconoscere
l'email in arrivo con Badtrans prima versione non è difficile, perché il
nome dell'allegato infetto è uguale al subject dell'email. Symantec nei
suoi bollettini si limita a segnalare l'attività di questa versione del
worm e, come già spiegato sul
numero di ieri, avverte che il subject e il nome dell'attachment sono
presi da una lista predefinita di termini: HUMOR; DOCS; S3MSONG; ME_NUDE;
CARD; SEARCHURL; YOU_ARE_FAT!; NEWS_DOC; IMAGES; PICS. Ogni nome di file
è seguito da due estensioni. La prima è a scelta:.DOC;.MP3 oppure.ZIP.
La seconda è.pif o.scr. (dunque: CARD.DOC.PIF, NEWS_DOC.MP3.SCR
eccetera). La dimensione di questi allegati è di 29,02 kilobyte
La
seconda versione, quella che sembrerebbe essere la più diffusa anche in
Italia, è invece pensata per ingannare l'utente inserendo come subject
solo "Re:" con un allegato che in totale pesa 40,3 KB. Sarebbe
questa la versione responsabile, secondo MessageLabs, dell'ulteriore
diffusione del worm la cui presenza viene segnalata in 98 paesi, a
testimoniare l'enorme capacità di riproduzione
Una
volta attivato il worm su sistemi Windows, Badtrans esegue una serie di
istruzioni che sono contenute nel suo codice che, come noto, comprende
anche un cavallo di Troia capace di registrare in un file di log tutti i
pulsanti premuti sulla tastiera.
Nell'ordine: registra tutti i testi digitati su windows, cifra il log,
invia il file di log ad uno degli indirizzi inseriti nel codice, invia le
password che si trovano in cache, chiude il sistema ad un'ora
prestabilita, si inserisce in Windows con il nome di un file di registro
(kernel32.exe), usa quello stesso nome come percorso per copiare i propri
dati e infila due chiavi nel registro di Windows.
Se si venisse colpiti dal virus, la prima cosa da fare è cancellare o
rinominare il file "kernel32.exe" (attenzione: non
"kernel32.dll" che è legittimo) in, per esempio,
"kernel32.old" in modo da renderlo inattivo. Da cercare e
distruggere è anche il file KDLL.DLL, che contiene il cavallo di Troia
che archivia nel file "CP_25389.NLS" nella directory di sistema
di Windows il log con la registrazione dei tasti premuti sulla tastiera
(che viene poi inviata ad un indirizzo di Hotmail). Entrambi i file
potrebbero non essere modificabili perché in esecuzione. Va dunque prima
rimossa la chiave di registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Kernel32 = kernel32.exe
Poi, riavviato il sistema, si può procedere alla distruzione dei file.
Il codice trojan che viene infilato nel sistema viene classificato dalla
danese F-Secure come "Trojan.PSW.Hooker" (qui una
pagina descrittiva).
Una volta rimossi i file infetti, con il proprio antivirus occorre
eseguire una scansione per individuare e cancellare tutti i file che
contengono "W32.Badtrans.B@mm".
In generale Symantec consiglia di:
- Impostare i sistemi di filtraggio delle email aziendali per bloccare
tutte le email con le estensioni.scr e.pif
- non aprire e-mail con oggetti corrispondenti ai nomi riportati;
- distruggere tutti i file riconosciuti come W32.Badtrans.B@mm;
- rimuovere e cancellare tutti gli allegati con le estensioni sopra
riportate;
- aggiornare le definizioni dei virus.
Per ulteriori info può risultare utile approfondire sul sito del SARC, qui.
|
