Il megavirus che colpisce al cuore!

Arriva come una lettera d'amore, con tanto di I Love You nel soggetto, ma dietro si cela l'inganno: un virus scritto in VBScript che si sta diffondendo alla velocitÓ della luce

Il megavirus che colpisce al cuore!Roma - Sembra che i creatori di virus non si fermino pi¨ nemmeno difronte ai sentimenti. "ILoveYou", riporta il soggetto dell'infame lettera, ma dietro vi si cela un tradizionalissimo virus da e-mail, scritto in VBScript e capace di auto-replicarsi attraverso l'invio di messaggi a tutti i nominativi della rubrica di Outlook e di mIRC. All'interno di queste e-mail si trova il messaggio "kindly check the attached LOVELETTER coming from me." e in allegato il file "LOVE-LETTER-FOR-YOU.TXT.vbs" che, se aperto, infetta il sistema. Ma la cosa che pi¨ colpisce Ŕ la rapiditÓ del tutto senza precedenti con sui il codice si va diffondendo sulla rete.

La tecnica utilizzata da questo virus Ŕ quella giÓ vista in altri trojan tipo Melissa o Happy 99, con la differenza che, per ingannare meglio anche gli utenti pi¨ smaliziati, il creatore ha utilizzato un artificio giÓ adottato dal virus VBS/Freelink, un noto "warm" diffusosi qualche tempo fa soprattutto via IRC. In pratica la vera estensione del file, in questo caso .vbs (ma poteva essere .pif, .msc od un qualsiasi altro formato eseguibile di Windows), viene celata dietro ad un'estensione "non sospetta", come .txt, .jpg o .avi, l'unica visibile dall'utente. Questo Ŕ reso possibile dal fatto che in Windows esiste l'opzione "Nascondi le estensioni dei file per i tipi di file conosciuti" abilitata di default. Per disattivarla basterÓ andare in Gestione Risorse/Opzioni Cartella/Visualizzazione e levare il segno di spunta sulla relativa voce. In questo modo sarÓ immediatamente possibile accertarsi che i file pervenutici attraverso la posta elettronica, IRC o qualsiasi altro servizio di Internet, siano effettivamente quello che "dicono di essere"... In mIRC, invece, sarebbe prudente aggiungere in File/Options/DCC/Folders tutte le estensioni tipiche dei worm script nella casella "Ignore file types": in questo modo il programma rifiuterÓ a priori la ricezione di file sospetti provenienti da altri utenti.

Oltre a replicarsi via e-mail, LoveLet si preoccupa di rinominare i file .mp3, .jpg ed altri tipi ancora in .vbs in cui infila il virus. Inoltre tenta di scaricare un file .EXE da quattro siti Internet... Solitamente i programmi scritti in VBS funzionano solo sui sistemi Windows 98/2000, ma divengono vulnerabili anche Windows 95 ed NT4 nel caso vi sia installato Internet Explorer 5. Pare che non corrano rischi, invece, coloro che hanno disabilitato gli Windows Script Host o applicato le recenti security patch di Microsoft.
Le prime a lanciare l'allarme sono state due societÓ inglesi di prodotti per la sicurezza, GFI e Sophos, che hanno battezzato il nuovo virus con il nome "VBS/LoveLet-A", ma che altri chiamano "VBS/LoveLetter", definendone anche un'origine abbastanza certa: le Filippine.

Dopo aver giÓ messo in ginocchio alcune grosse aziende londinesi, fra cui una con 7mila dipendenti, LoveLet ha rapidamente raggiuno il resto dell'Europa e, proprio in questi giorni, anche l'Italia. Ne abbiamo avuto conferma dalle numerose mail contenenti il famigerato soggetto "ILOVEYOU" che sono pervenute ieri in redazione.

Sembra che la velocitÓ di diffusione di LoveLet sia superiore persino a quella di Melissa e purtroppo, da quello che possiamo vedere, anche qui in Italia non mancherÓ di espandersi a macchia d'olio. Fortunatamente proprio in queste ore praticamente tutti i maggiori produttori di antivirus hanno annunciato la disponibilitÓ di nuovi aggiornamenti in grado di riconoscere il pericolo. A onor di cronaca bisogna dire che uno dei primi antivirus ad essere stati aggiornati Ŕ il gratuito Inoculate Personal Edition di Computer Associates.