Roma – XTC è un worm noto da pochi giorni ma già segnalato anche in Italia, un “virus” capace di scaricare aggiornamenti dalla Rete in un modo che ricorda da vicino quanto riesce a fare l’ultima versione di Hybris, la cui diffusione appare finalmente in diminuzione. Ma l’arrivo di XTC corrisponde alla nuova diffusione di Blebla, in pratica una ri-edizione del già noto virus Romeo e Giulietta . Un worm più tradizionale ma capace di diffondersi rapidamente in Rete come dimostra l’accelerazione che sta avendo in questi giorni.
Va detto che entrambi questi codici, sebbene diversi nella tipologia d’attacco, arrivano come attachment infetti di un messaggio di posta elettronica e possono colpire facilmente i sistemi Windows: è dunque più che mai importante imparare a distinguere il tipo di email in arrivo e la natura degli allegati. Nel caso di Blebla, come si vedrà, ci vuole ancora più attenzione. Inoltre è senz’altro decisivo aggiornare spesso i propri software antivirus, onde evitare di essere colpiti duramente dai virus più aggressivi.
XTC viene descritto dai laboratori Symantec come un worm capace di aprire delle porte di accesso al sistema colpito (backdoor) attraverso le quali l’autore, su canali chat IRC, riesce a controllare il comportamento del worm e ad aggiornarlo con le nuove “funzioni” via via sviluppate.
Il suo livello di rischio è strettamente legato al tipo di “aggiornamento” a cui il codice è stato sottoposto. Sebbene sia “pensato” per inviare certi file del computer su canali IRC e a modificare gli indirizzi delle pagine del browser Internet Explorer, XTC può anche colpire cancellando alcuni file specifici. In particolare il worm tenta di connettersi al server eu.undernet.org utilizzando un nome di logon qualsiasi ed entrando nel canale #xtcdan è in grado di interagire con gli altri worm che vi si collegano aggiornandosi con nuove versioni se più recenti…
L’allegato infetto si può riconoscere dalle dimensioni, pari a 20480 byte, e dal fatto che il messaggio ha per subject la frase “AVX update notification” (ovvero: notifica di update del software antivirus) e l’attachment stesso si chiama “services.exe”.
Tra i comandi che possono arrivare al worm attraverso questa backdoor ve ne sono alcuni particolarmente preoccupanti, come:
“dos”, avvia un attacco Denial of service contro un target specifico
“md”, crea una directory sulla macchina infetta
“rd”, rimuove una directory sul computer colpito
“del”, cancella i file dalla directory dove si trova il worm
“copy”, copia un certo file sulla macchina colpita
“exec”, fa partire un certo file sul computer infettato
Per rimuovere il worm occorre cancellare tutti i riferimenti a XTCUpdate dal file di registro. Poi riavviare il computer e cancellare successivamente il programma Services.exe dalla directory di Windows.
La nuova versione di Blebla in giro in questi giorni è invece un aggiornamento di W32.Blebla ed è chiamato W32.Blebla.B. Anche questa versione non colpisce WindowsNT né Windows2000, ma “solo” Windows 9x. I labs Symantec spiegano che questa edizione B circola con i due allegati già visti nella versione A ma con una lieve differenza nel loro nome. Da romeo.exe e juliet.chm si è passati a xromeo.exe e xjuliet.chm, una “mossa” pensata per evitare che i file siano facilmente individuati da una sola ricerca per nome.
Il subject dell’email infetta può essere: “Romeo&Juliet”, “where is my juliet ?”, “where is my romeo ?”, “hi”, “last wish ???”, “lol:)”, “,,…”, “!!!”, “newborn”, “merry christmas!”, “surprise !”, “Caution: NEW VIRUS !”, “scandal !”, “^_^”
Blebla B arriva in una email costruita in HTML che quando viene aperta salva su computer e attiva i due allegati. Una volta lanciato, il worm si autoinvia a tutti i destinatari della rubrica di Outlook e segnala la propria presenza sul newsgroup alt.comp.virus.
In particolare, i due file allegati vengono salvati nella directory TEMP di Windows e viene lanciato il primo, xjuliet.chm che a sua volta lancia l’altro file che provvede all’invio di nuovi messaggi infetti a tutte le email presenti nella Rubrica di Outlook. E si invia sfruttando una lista di una quindicina di mail server diversi.
Dopodiché il virus si dedica a modificare il file di registro inserendo un puntatore a Sysrnj.exe nella directory di Windows. Da quel momento in poi qualsiasi file.exe,.jpg,.gif,.xls,.mp3 (e altri) venga aperto, viene spedito nel cestino di Windows (c:recycled) con un nome modificato. Il file originale sarà rimpiazzato dal virus stesso con suffisso.exe. In questo modo i file cancellati non saranno più utilizzabili…
Per rimuovere questa nuova versione di Blebla occorre cancellare tutti i file “W32.Blebla.B.Worm” e recuperare l’impostazione originale del file di registro nonché i file cancellati dall’ultimo backup. Come precauzione è necessario, dopo averlo aggiornato, impostare il proprio antivirus per scansionare le email in arrivo o disattivare l’html nelle email in arrivo.
Ti potrebbe interessare
13 dic 2000