Un altro virus? Brutto e cattivissimo!

Questa volta si è di fronte ad una bestia selvaggia, pronta a cancellare tutto e tutti. Occhio quindi a come si usa la posta elettronica. Certo che arriva proprio in un momento sospetto

Un altro virus? Brutto e cattivissimo!Web - Un virus cattivo, di quelli finora rarissimi che arrivano sui computer Windows per distruggere tutto quello che trovano. Di quelli che, una volta entrati nel sistema, cancellano ogni file e si inviano automaticamente a tutti i destinatari inseriti nella rubrica di Outlook. Il virus si chiama "New Love" e nelle ultime ore, dicono gli esperti delle aziende antivirus, sta invadendo la rete a velocità vorticosa lasciando dietro di sé il vuoto.

Uno scenario paradossale? Sì, se si pensa che siamo appena stati infettati da LoveLetter, che su questo si è scatenata una informazione internazionale senza precedenti e che tutti gli utenti Windows ormai da qualche settimana sanno che un attachment non riconosciuto è un pericolo ambulante. Sanno che il pericolo c'è ma, dicono ora gli esperti, non l'hanno ancora imparato. E "New Love", che nome ironico e ridicolo!, si diffonde rapidamente. Viene quasi da piangere.

Il dovere mi costringe a dettagliare almeno un po ' di che si tratta, visto che in televisione e nei lanci d'agenzia si legge di tutto e di più. La spiegazione più chiara l'ho trovata sul sito Symantec, semplice e concisa: "VBS.NewLove.A è un worm che si diffonde spedendosi a tutti gli indirizzi contentuti nell'address book di Microsoft Outlook, quando l'attachment .VBS viene aperto. Il nome dell'attachment è scelto a caso, ma avrà sempre l'estensione di tipo VBS. Il soggetto dell'email comincia con FW (forward) e include il nome dell'attachment scelto a caso (includendo l'estensione VBS). Dopo ogni infezione, il worm aggiunge 10 nuove righe di commenti generati a caso in maniera da eludere il sistema di scansione dell'Anti-Virus".
"Andando sul tecnico", ci aiuta il sito della norvegese F-Secure, in Italia presente attraverso Symbolic. Gli esperti scandinavi avvertono che: "il virus sta destando preoccupazione tra i ricercatori. Questo worm presenta caratteristiche uniche ed è considerevolmente più pericoloso del predecessore.

VBS/NewLove è un worm distruttivo e polimorfico realizzato in VBScript, che si propaga tramite MS Outlook in messaggi simili al seguente:
da: (nome dell'utente infettato)
a: (indirizzo estratto casualmente dall'address book)
Soggetto: FW: (nome di file casuale.estensione)
Messaggio:
Allegato: (nome di file casuale.estensione).vbs

Le parti indicate tra parentesi sono variabili, il corpo del messaggio è vuoto. Analogamente a LoveLetter, NewLove funziona unicamente su sistemi Windows che implementino Windows Script Host, ossia: Windows 98,Windows 2000,Windows NT o 95 se è presente Internet Explorer 5.x o se l'utente ha esplicitamente installato Windows Script Host come utility aggiuntiva.

VBS/NewLove si replica tramite un allegato in cui nome è preso dalla lista dei file più recenti aperti dall'utente infettato; al nome del file originale viene aggiunta l'estensione .VBS. Il file così creato contiene ovviamente il codice del virus. Se la lista dei file recenti è vuota, il nome viene generato direttamente dal Worm.

Il meccanismo di spedizione e' analogo a quello di LoveLetter: gli indirizzi vengono presi dall'address book di MS Outlook".

Poi gli esperti spiegano dove si piazza il virus nei sistemi Windows:
"VBS/NewLove.A genera una propria copia con un nome casuale nelle directory:
WINDOWS
WINDOWS\SYSTEM
e aggiunge un riferimento a sé stesso usando una chiave casuale che viene aggiunta alle seguenti chiavi:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\

Infine il worm ricerca tutti i file su tutti i dischi mappati dall'utente: per ogni file trovato, crea un nuovo file mantenendone il nome originale, con l'aggiunta dell'estensione .vbs. Tutti i file trovati sui dischi vengono cancellati".

Tutto chiaro? Come per LoveLetter-ILoveYou, questo virus si riconosce dunque perché l'attachment che invia è un .vbs. Tutti si ricorderanno che questa estensione è la stessa che nascondeva quel maledetto di LoveLetter, è cioè la stessa estensione di file che anche i sassi dovrebbero sapere che potrebbe celare dei pericoli. Se tutto questo si sa, se tonnellate di pagine sono state scritte, siti riempiti, televisioni invase, mailing list e newsgroup non ne parliamo.. allora perché NewLove continua a diffondersi pare a velocità fulminanti? Chi è il responsabile? Chi l'ha lanciato per primo, magari dopo averlo creato, o chi vede un'email sospetta e sorridendo l'apre pensando ad altro? Viene da chiederselo, e quasi dispiace dover far ricadere la colpa inevitabilmente sul "diffusore" originale di questo codice.

C'è anche da dire che questo virus cade in un momento particolare, che potrebbe addirittura apparire "studiato". Cade cioè subito dopo la conferenza del G8 sul crimine informatico, che ha analizzato il fenomeno LoveLetter, e sembra quasi un appello ai potenti del mondo affinché facciano qualcosa, studino e mettano in atto misure preventive, controlli e chissà cos'altro. Ma se c'è qualcosa sotto certo non lo verremo a sapere. Parlarne, dunque, è probabilmente inutile.

Per chi dopo quanto detto ritiene comunque di non sapersi trattenere dall'aprire attachment o non si fida di un collega o di un familiare magari poco addentro alle cose dell'informatica e di internet, sul sito di ZDNet sono elencati tutti gli antivirus e gli aggiornamenti per sentirsi tranquilli, e tornare a pensare all'amore come ad una cosa bella.

Gilberto Mondi