Attentati - l'ora del virus-sciacallo

Installa un cavallo di Troia, cancella file e ne riscrive altri. Il Worm è realizzato in Visual Basic da uno script-kiddie in cerca di una infame notorietà. Symantec getta acqua sul fuoco. Il codice sciacallo inganna ANSA e Repubblica

Attentati - l'ora del virus-sciacalloRoma - Symantec lo classifica soltanto a livello 2, e non lo ritiene quindi una minaccia così grave, sebbene alcuni media, soprattutto italiani, lo abbiano già descritto come una catastrofe ambulante. La realtà è che il worm W32.Vote non deve preoccupare gli utenti che abbiano un antivirus aggiornato nelle ultime ore o quelli che non aprono file.exe di cui non conoscano l'esatta origine.

W32.Vote è il nome del worm che attacca sistemi Windows e che finge di chiedere un voto contro la "guerra tra America e Islam" (!). E' stato realizzato in Visual Basic da uno script-kiddie in cerca di facile notorietà, che potrebbe costargli cara se verrà individuato dalle autorità che indagano su questa infezione.

Secondo Symantec, sono molti i media che ritengono disgustoso che qualcuno possa servirsi delle tragedie costituite dagli attentati a New York e Washington per trarne un vantaggio, perdipiù così futile e insensato. Eh già, perché il worm viene diffuso in una email che lo propaganda come un mezzo per "votare contro la guerra", cercando così di indurre gli utenti a cliccare sull'allegato infetto che arriva insieme all'email. Una situazione che ricorda da vicino un altro wormino che nei giorni scorsi era stato propagandato come documento da leggere sul World Trade Center (WTC).
Nello specifico, nella lettera giunta a Punto Informatico da Symantec, si legge che il W32.Vote.A@mm è un worm pensato per creare un invio di massa di posta elettronica, come molti suoi predecessori, auto-spedendosi a tutti gli indirizzi della rubrica di Windows presente sul computer infetto.

Non contento, il worm infila nel sistema anche due file.vbs e tenta di cancellare alcune porzioni dei programmi antivirus eventualmente presenti sul computer colpito. Tutti i file con estensione "html" o "htm" che si trovano sul sistema infetto vengono riscritti.

Non corrisponde al vero, invece, quanto riportato dall'ANSA: l'agenzia di stampa italiana ha infatti allarmato molti lettori di Punto Informatico che hanno scritto alla redazione dopo aver letto che il virus cancella "tutto il contenuto" del computer. Forse proprio il lancio ANSA ha indotto anche Repubblica.it all'errore: il quotidiano sosteneva che il virus "cancella la memoria della macchina". Come vedremo, invece, il worm ci prova ma non può riuscirci.

In realtà il problema maggiore sta nel fatto che il worm tenta di scaricare un cavallo di Troia, che Norton AntiVirus individua come "Backdoor.Trojan". Se il trojan viene effettivamente installato sul sistema, da quel momento il computer può essere accessibile a chi ha confezionato quel codicillo, e dunque la sua sicurezza è compromessa.

Accorgersi che l'email che arriva è quella infetta non è difficile. L'allegato si chiama "WTC.exe" e, trattandosi di un file.exe, dovrebbe già da solo mettere in allarme l'utente. Ma il pericolo si riconosce anche dal subject dell'email, "Fwd:Peace BeTweeN AmeriCa and IsLaM!", e dal testo del messaggio:

"Hi
iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!"

Qualora l'utente cliccasse su WTC.exe e non avesse un antivirus aggiornato nelle scorse ore, il worm si attiverebbe infilando, tra l'altro, due file dentro Windows: "ZaCker.vbs" e "MixDaLaL.vbs".

Nel primo caso il file, richiamato da una modifica nel registro di Windows al successivo riavvio del computer, tenta di cancellare tutti i file che si trovano nella cartellina "Windows" del sistema. Subito dopo, il worm crea o sovrascrive il file di sistema "autoexec.bat", dove inserisce un comando per formattare il disco "C" al successivo reboot di Windows.

L'altro file, "MixDaLaL.vbs", è uno script che viene inserito nella cartellina "System" di Windows e che viene eseguito direttamente dal worm. Quando questo accade, il codice cercherà in tutto il sistema, e anche sui computer collegati in rete, tutti i file con estensione ".htm" o ".html", e li riscriverà inserendo questo testo:

"AmeRiCa...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You"

Una volta riavviato il computer, il worm fa apparire il messaggio:

"I promiss We WiLL Rule The World Again... By The Way, You Are Captured By Zacker!!!"
13 Commenti alla Notizia Attentati - l'ora del virus-sciacallo
Ordina
  • Avete ragione quando dite che non e' un esperto, infatti:
    echo Y | format c: eccetera
    e' una monata xche' funzionerebbe solo nel caso di un S.O. inglese.
    Mentre invece il format ha un comando poco documentato che fa' in modo che non chieda conferma ......
    Lo so io che non sono proprio un mostro, quindi il kiddie e' proprio a livelli da poppante !!

    saluti
    non+autenticato
  • Ciao mi chiamo Luca ho un problema che non riesco a risolvere, mi rivolgo a voi perchè ne sapete una più del diavolo.
    Ho sicuramente preso un virus Che dovrebbe essere il w32magistr.39921@mm ma non ne sono sicuro.
    Il problemi che manifesta il pc e che praticamente il disco rigido non da il boot di partenza e mi richide il dico di ripristino.
    Io ho provato a inserire il cd di win98 con la speranza di poter formattare ma una volta sul prompt di msdos l'unita C: non la rileva,
    ho provato a resettare la scheda madre perchè sapevo che il virus colpiva il bios ma neanche cosi ho risolto,la cosa strana è che nel bios l'HD lo rileva, sono in palla e nonso più che pesci prendere, aspetto una vostra risposta ,un saluto a tutti da Luca.
    non+autenticato
  • - Scritto da: Luca

    > Ciao mi chiamo Luca ho un problema che non
    > riesco a risolvere, mi rivolgo a voi perchè
    > ne sapete una più del diavolo.
    > Ho sicuramente preso un virus Che dovrebbe
    > essere il w32magistr.39921@mm ma non ne sono
    > sicuro.
    > Il problemi che manifesta il pc e che
    > praticamente il disco rigido non da il boot
    > di partenza e mi richide il disco di
    > ripristino.
    > Io ho provato a inserire il cd di win98 con
    > la speranza di poter formattare ma una volta
    > sul prompt di msdos l'unita C: non la
    > rileva,
    > ho provato a resettare la scheda madre
    > perchè sapevo che il virus colpiva il bios
    > ma neanche cosi ho risolto,la cosa strana è
    > che nel bios l'HD lo rileva, sono in palla e
    > nonso più che pesci prendere, aspetto una
    > vostra risposta ,un saluto a tutti da Luca.

    Cosi' a occhio si direbbe un problema di MBR
    (Master Boot Record).

    Dipende anche da cosa c'e' sull'hd:

    Io fossi al posto tuo cercherei un amico con linux o con un A1200 e da li' dare un'occhiata a cos'e' rimasto ed eventualmente backupperei le cose che servono.

    Se invece sull'HD non c'e' nulla da salvare: hai provato a vedere cosa ti dice fdisk ?

    Se non sai cos'e dimmelo che te lo raccontoSorride
    non+autenticato
  • Mi pare che ormai siamo in preda ad un'isteria di massa.
    Non si possono pubblicare copertine con le towes di NY, non si possono sentire canzoni pacifiste, non escono film perche' c'erano le twin towers...
    Non vedo perche'. E quindi perche' indignarsi se esce un virus che poi tanto cretino non e' con dentro il WTC?
    Capisco il dolore ma insomma ragioniamo, senza censure.
    non+autenticato
  • >>Mi pare che ormai siamo in preda ad un'isteria di massa.

    Conkordo, ci si fà prendere da troppi allarmismi e si diventa tutto ad un tratto diffidenti verso tutto e tutti. E questo fà ben + danno.

    El-DoX
    non+autenticato
  • NON CREDI CHE LA MORTE DI TANTE PERSONE MERITI UN PO DI RISPETTO ?

    LA VITA E' UNA COSA MERAVIGLIOSA........
    non+autenticato
  • e vi diro' chi siete.
    avete mai provato a installare un trojano su una macchina? cioe'... non sai quello che puoi fare... in pratica diventi amministratore di un altro computer...
    non+autenticato


  • - Scritto da: s*ill*
    > e vi diro' chi siete.
    > avete mai provato a installare un trojano su
    > una macchina? cioe'... non sai quello che
    > puoi fare... in pratica diventi
    > amministratore di un altro computer...


    limpido e chiaro come messaggio...grazie per il chiarimento.

    tutor®
    non+autenticato
  • Non è vero.
    Il troiano è un programma che si installa silenziosamente e invisibilmente per l'utente.
    Quello che dici tu è un server per l'amministrazione remota.
    Se io ti installo PACMAN sul PC tramite un programma che fa finta di installarti qualcos'altro, in quel caso il PAC-MAN è un troiano.

    Ciao
    non+autenticato
  • > Se io ti installo PACMAN sul PC tramite un
    > programma che fa finta di installarti
    > qualcos'altro, in quel caso il PAC-MAN è un
    > troiano.
    >
    > Ciao

    Questo perchè alcuni trojan, come il subseven, hanno implementato una funzione che permette di assumere le dimensioni di un'altro eseguibile tipo ACDSee, o altri ancora oltre al programma normale istallano un backdoor nascosto.
    Cmq sia si diceva anche che si potevano istallare applicazioni da postazione remota... Esagerato. Senza contare che questo virus istallava solo il Backdoor, configurato chissà con quali parametri certo, cmq sia nn dà un controllo remoto tale da fare addirittura ciò.
    Quando un virus istallerà un'applicazione tipo il VNC, configurandola xò opportunatamente in modo che sia nascosto (poche modifiche al registro e a qualche file) allora sarebbe un vero problema perchè come applicazione è legale, fatta per avere un'accesso remoto, quindi gli antivirus o gli stessi antitrojan nn la segnalerebbero, oltre ciò quello è davvero il completo controllo remoto, xchè tu visualizzi effettivamente solo il desktop della vittima, e muovi il mouse sul desktop della vittima, come fosse il tuo pc, oltre che fungono combinazioni complicate di tasti come ctrl+alt+canc.
    non+autenticato
  • Si comunque chi si affida all'ANSA per queste notizie? Dai...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)