Roma – La notizia di ieri riguardava le circostanziate accuse dell’Unione Europea agli Stati Uniti per l’esistenza di Echelon e l’uso scorretto che ne viene fatto. La novità di oggi è invece che si sta diffondendo un virus che vuole mandare in tilt il sistemone di intercettazione controllato dagli USA.
Il worm contiene una quantità di testo nascosto, che secondo gli autori del virus dovrebbe essere intercettato da Echelon. Se il virus girasse, questo è il ragionamento, il sistemone di intercettazione potrebbe andare in “overload”.
Ci sono però almeno un paio di buoni motivi per i quali è improbabile che il worm riesca nel suo intento. Il primo, naturalmente, è che non è affatto detto che Echelon effettivamente basi le proprie intercettazioni su parole chiave anziché su pattern di riconoscimento dei comportamenti degli utenti di servizi di telecomunicazione. Il secondo è che, anche se Echelon funzionasse in questo modo, è assai improbabile che un utente apra un messaggio che ha per subject tre punti esclamativi, per corpo la firma “:-) MuCuX…;” e per allegato, infetto, “echelon.vbs”.
Ad avvisare che comunque il virus sta circolando, sebbene in modo non preoccupante, è stata la società specializzata Sophos che in una nota elenca anche l’intero testo nascosto contenuto nel codice del virus.
Porzioni di questo testo se la prendono con i servizi segreti americani o con la politica estera degli Stati Uniti. Il tutto è anticipato dall’informazione secondo cui il worm è stato scritto da “Extirpater” e “beyin”, che nel testo invitano tutti a: “(…) mandiamo in palla Echelon (…)”
Il funzionamento del worm ricorda quello di LoveLetter, tanto che Sophos lo ha chiamato “VBS/LoveLet-CL” ma c’è qualche differenza che lo rende maggiormente distruttivo. Ecco come funziona.
Sul piano tecnico, VBS/LoveLet-CL non è che una variante di LoveLetter che tende a creare sul computer vittima (rigorosamente sistemi Windows) due copie di sé stesso, due file chiamati “command.vbs” e “WinVXD.vbs”.
Una volta dentro, il virus cerca di autoinviarsi a tutti i destinatari della rubrica di Outlook, creando messaggi con le caratteristiche riportate in prima pagina, caratteristiche che dovrebbero consentire anche all’utente meno esperto di identificare rapidamente l’email infetta come “pericolo”.
Ma il worm non si limita a questo perché scansiona tutti i drive che trova sul computer colpito e sulla rete a cui è collegato e che abbiano come estensione VBS, VBE, JS, JSE, CSS, WSH, SCT o HTA. Qualsiasi file di questo genere si trovi sul sistema viene riscritto con il codice del virus e con l’estensione VBS.
I file.JPG eventualmente trovati sul computer vengono riscritti allo stesso modo, trasformandosi in file.JPG.VBS. Se invece il worm scopre file MP2 o MP3, non solo li riscrive ma li copia anche in un nuovo file con estensione.VBS.
Non contento, qualora sul sistema sia presente anche una copia di mIRC, forse il più celebre programma specializzato per la chat su IRC e utilizzato da milioni di utenti, allora crea uno script all’uopo che gli consente di trasmettere il virus anche via chat.