Sonic, il virus che si auto aggiorna

No, non è il noto personaggio dei videogiochi ma un nuovo worm virus in grado di auto aggiornarsi via Internet e mettere a repentaglio la sicurezza e la privacy degli utenti di PC. Pare sia in arrivo, occhio!

Sonic, il virus che si auto aggiornaMosca (Russia) - Potrebbe chiamarsi Sonic la nuova minaccia che viene dalla Rete, recentemente segnalata dai Kaspersky Lab russi. Già diffusosi in Francia e Germania, in queste ore il nuovo worm potrebbe aver già fatto il suo ingresso in Italia.

Caratteristica saliente di Sonic è quella di auto aggiornarsi scaricando dalla Rete funzionalità aggiuntive e componenti che, secondo gli esperti della Kaspersky, potrebbero mettere a serio rischio la sicurezza dei sistemi e la privacy degli utenti. La prudenza è d'obbligo dunque, anche se in passato i Kaspersky Lab sono stati accusati di eccessivo allarmismo dai colleghi statunitensi.

Il worm consiste infatti di due parti distinte: il "loader", quello che si diffonde via Internet attraverso una attachment.exe (al momento l'unico conosciuto è GIRLS.EXE) ed il modulo principale, quello che il loader ha il compito di scaricare, una volta penetrato nel sistema vittima.
La procedura di scaricamento del modulo principale avviene in tre fasi:
1) connessione ad un account Web di Geocities;
2) download del file LASTVERSION.TXT contenente il numero di versione del modulo principale disponibile sul sito;
3) nel caso il PC vittima non abbia il modulo o ne abbia una versione più vecchia di quella disponibile, il loader si incaricherà allora di scaricare due file dal sito: nn.ZIP (dove "nn" è il numero di versione del modulo) e GATEWAY.ZIP (l'ultima versione del loader).

Kaspersky, che ha esaminato le funzioni di base del modulo principale, avverte che questo ha il compito di aprire una backdoor sul sistema vittima attraverso la quale l'autore del virus è in grado di rubare dati, tracciare le attività dell'utente e controllare da remoto il computer infetto.

Come "tradizione", poi, anche questo virus si avvale dell'address book di Windows (WAB) per estrarre indirizzi e-mail a cui spedire una copia del messaggio infetto.

Denis Zenkin, PR di Kaspersky, ha affermato che la funzione di auto aggiornamento di questo virus somiglia a quelle già trovate in due worm precedenti, sebbene qui appaia più sofisticata. Una funzionalità che rischia di valere per tutti i worm virus di prossima generazione.