Roma – A volte ritornano, e tra i worm che vanno e vengono da qualche ora bisogna annoverare anche Badtrans, da tempo considerato uno dei codici più diffusi tra i virus.
Già, perché il vecchio worm Badtrans ritorna con nuove caratteristiche sotto forma di “W32.Badtrans.B@mm”, un virus che aggredisce i sistemi Windows e sul quale Symantec nella giornata di ieri ha innalzato il livello di attenzione da 2 a 3. Secondo MessageLabs, invece, la situazione è più grave, con copie di virus che si riverserebbero sulla rete alla velocità di centinaia al minuto. Non siamo, almeno così sembra, all’epidemia incontrollata, ma è certo bene sapere quale bestiolina informatica questa volta si ha di fronte.
Secondo Symantec, W32.Badtrans.B@mm è emerso nel corso di quest’ultimo week-end e ha le caratteristiche di un worm MAPI che tende ad inviarsi al maggior numero possibile di utenti internet e ad infilare un cavallo di Troia capace di registrare le sequenze di tasti premuti sulla keyboard del computer.
Il messaggio infetto contenente la nuova versione di Badtrans arriva condito da un allegato il cui nome può essere uno dei seguenti: HUMOR; DOCS; S3MSONG; ME_NUDE; CARD; SEARCHURL; YOU_ARE_FAT!; NEWS_DOC; IMAGES; PICS.
Ogni nome di file è seguito da due estensioni. La prima è a scelta:.DOC;.MP3 oppure.ZIP. La seconda è.pif o.scr. (dunque: CARD.DOC.PIF, NEWS_DOC.MP3.SCR eccetera).
Va detto che l’email ha per subject il nome del file allegato, una caratteristica che dovrebbe consentire la facile individuazione del worm anche da parte degli utenti meno esperti. Ma va anche detto che in queste ore vengono segnalate a Punto Informatico una serie di varianti di cui non hanno ancora parlato ufficialmente i maggiori produttori antivirus. Tra queste, anche email che arrivano prive di subject, in HTML, studiate per attivarsi alla sola apertura del messaggio. Una situazione che può in teoria colpire un sistema Windows laddove venga utilizzato un client, come Outlook Express, che non sia stato adeguatamente “patchato” e che visualizzi la preview delle email in arrivo.
Se l’allegato viene eseguito, il worm cerca di copiarsi nella directory “system” sotto “windows” con il nome di “kernel32.exe” e aggiunge nel registro questa chiave:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceKernel32=kernel32.exe.
Una volta dentro il sistema, il worm si occupa anche di installare un trojan (Trojan.PSW.Hooker) grazie al quale è in grado di registrare quanto viene digitato sulla tastiera, dunque anche password e affini…
Sia Symantec che altri produttori antivirus hanno già messo in circolazione gli aggiornamenti dei propri sistemi di individuazione e distruzione dei “codici maliziosi”.
Per seguire l’evoluzione dei virus in rete segui il Canale dedicato di Punto Informatico.
Ti potrebbe interessare
27 nov 2001