Virus/I nuovi vermi della Rete

Cosa sono, chi sono e come proteggersi dalla nuova generazione di Internet Worms, quei virus che si diffondo attraverso la posta elettronica in formato HTML

"Non eseguire mai alcun file di cui non si conosca la provenienza", è una delle regole del mondo del PC più conosciute e osservate per evitare il contagio da virus.
Già qualche anno addietro con il BackOrifice, rispettando tale regola, parecchi hanno evitato che il lamer di turno potesse accedere alle risorse del proprio computer, ma nuovi virus aventi come capostipite il BubbleBoy, sono riusciti a invalidare tale teorema: basta ricevere una mail che sia stata infettata con uno di questi worms perché anche il proprio computer ne sia colpito.
Perché tali virus possano agire, devono però verificarsi le seguenti condizioni: deve essere presente Internet Explorer 5.0 e deve essere installata l'opzione "Windows Scripiting Host" (WSH) che viene installata per default con Windows 98.

BoubbleBoy è inserito all'interno delle e-mail scritte in formato HTML, la prima variante, dunque, ai classici virus scritti in Visual Basic che si diffondono sotto forma di allegati di posta elettronica.
Questo worm, che "funziona" solo con MS Outlook e MS Outlook Express, si comporta in maniera differente a seconda della versione in possesso dell'utente. Con Outlook, BubbleBoy richiede che si apra il messaggio, non attivandosi invece con la semplice anteprima, cosa che accade però con Outlook Express, dove basta leggere il messaggio in anteprima per attivare il virus.

Lo script è capace di attivarsi a causa di un buco nella sicurezza dei prodotti di Microsoft che permettono l'esecuzione di due controlli potenzialmente pericolosi di Active X: scriptlet.typelib e Eyedog.
Dopo che lo script in Visual Basic viene eseguito, BoubbleBoy scrive il file UPDATE.HTA nella macchina locale e al riavvio successivo, tale file verrà invocato. Il file UPDATE.HTA contiene il codice per eseguire le seguenti opzioni:

- cambia la voce del registro contenente il nome del proprietario con la stringa "BubbleBoy";
- cambia il nome dell'organizzazione in "Vandelay Industries";
- manda dei messaggi e-mail infetti a tutti gli indirizzi presenti nella rubrica di Outlook;
- crea una chiave nel registro in cui memorizza gli indirizzi e-mail a cui è già stato inviato il virus, in questo modo evita di rimandarlo due volte.
Il messaggio mandato dal BubbleBoy dovrebbe avere il seguente formato:
From:
Subject: BubbleBoy is back!
Body: The BubbleBoy incident, pictures and sounds http://www.towns.com/dorms/tom/bblboy.htm

La pagina a cui si riferisce il link, naturalmente, non esiste.

Sulla scia di BubbleBoy troviamo il worm WScript.KakWorm.
Con BubbleBoy ha parecchio in comune: è scritto in Visual Basic, usa le varie versioni di MS Outlook per diffondersi su Internet ma invece di nascondersi nel corpo del messaggio come gli altri worms, si nasconde nella signature (firma) dell'utente. Quando Outlook Express crea un nuovo messaggio, aggiunge automaticamente la firma infetta. Come risultato, il codice del virus è apposto nel messaggio e così tutti i messaggi mandati sono infetti. Quando il messaggio infetto viene aperto, il worm si attiva automaticamente e infetta il PC del destinatario.
Da annotare che questo worm non funziona se Windows è installato in directory differenti da "C:\WINDOWS".
Inoltre se non sono installati od utilizzati Outlook Express e Internet Explorer 5.0, il virus non è capace di infettare il PC.
Ultima nota caratteristica, il primo di ogni mese alle 5:00pm visualizza, al riavvio di Windows, il seguente messaggio:" Kagou-Anti-Kro$oft says not today !".

Un altro dei worm più diffusi è il "PrettyPark", anche conosciuto come "Trojan.PSW.CHV". Pretty Park, oltre all'invio di e-mail infette, è in grado di inviare di nascosto le password di sistema attraverso una backdoor che crea nel sistema. Sebbene si sia diffuso in Europa nel Giungo del 1999, è stata rilevata una vera e proprie epidemia nel mese scorso.
PrettyPark si propaga su Internet attaccandosi al corpo delle e-mail con il nome "Pretty Park.Exe". Il file ha un'icona che mostra un personaggio del famoso cartone animato chiamato South Park.
Oltre all'invio di mail infette, questo worm avvisa qualcuno (si presume l'autore) di uno specifico IRC server sui settaggi e sulle password del sistema appena infettato.
PrettyPark, utilizzato come backdoor, consente di accedere a tutte le informazioni del PC come la lista delle periferiche, password di accesso ad Internet con relativi numeri di telefono, parametri di ICQ, ecc.
E' inoltre possibile, per chi ne controlla la backdoor, creare, rimuovere e ricevere file e cartelle.
TAG: mondo