Roma – Suscita attenzione e preoccupazione il fatto che l’ultima versione del temibile MiMail, un worm mutante che da tempo circola in rete , se la prenda ancora una volta con i siti dell’antispam. Ancora una volta, infatti, il worm utilizza i computer infetti per sparare una infinità di richieste fasulle ai server delle blacklist e mettere fuori uso, dunque, siti di servizio per provider e fornitori che cercano di limitare la circolazione di email spammatorie. Come vedremo, però, non si limita a questo.
MiMail.L, questo l’identificativo della nuova versione del worm, viene distribuito come le precedenti versioni in una email che tenta di spingere l’utente di sistemi Windows ad aprire un allegato infetto . Una volta dentro il computer vittima, MiMail si infila nel sistema, raccoglie tutti gli indirizzi email che riesce a trovare sul PC, si auto-spedisce a quanti più possibile e, non contento, si occupa di lanciare attacchi denial-of-service (DoS) contro una serie di siti.
In particolare la lista di siti contro cui vengono diretti i DoS comprende:
www.authorizenet.com
disney.go.com
www.carderplanet.net
www.cardcops.com
www.register.com
www.spamcop.net
www.spews.org
www.spamhaus.org
Gli ultimi tre sono tutti siti ampiamente utilizzati nel mondo per i loro servizi antispam. Riuscire a colpirli con ripetuti DoS può significare riuscire a impedirne l’accesso e, dunque, mettere fuori uso alcune delle armi più utilizzate per filtrare lo spam. Stando agli esperti che hanno analizzato il worm, il PC infetto viene utilizzato per lanciare fino a 15 attacchi contemporaneamente con pause di cinque secondi tra l’uno e l’altro. Ogni volta viene scelto a caso uno dei siti della lista da colpire.
L’utilizzo di computer vulnerabili per compiere attacchi ai danni dei sistemi antispam non è cosa nuova , semmai sorprende che nonostante l’amplissima visibilità raggiunta dal problema di worm e virus vi siano ancora molti utenti che sottovalutano la questione, non utilizzando software antivirus o dimenticando di aggiornarlo.
I virus writer che hanno realizzato la nuova versione del worm hanno anche studiato una funzionalità che si attiva nel caso in cui si verifichi qualche errore nella diffusione di MiMail dal computer infetto. Una funzionalità pensata espressamente per danneggiare la reputazione dei servizi antispam. Quando qualcosa va storto, infatti, dei messaggi vengono comunque spediti dal worm e, sebbene non siano infetti, sono composti da una ricevuta fasulla di un ordine effettuato con carta di credito: chi riceve quei messaggi potrebbe ritenere di aver richiesto e pagato un CD contenente pornografia infantile . Per cancellare l’ordine fasullo all’utente si richiede di scrivere ad uno dei siti antispam presi di mira dal worm…
Secondo Sophos , società di sicurezza britannica, si tratta di una vera e propria attività criminale che vede impegnati nelle diverse versioni di MiMail le stesse persone o la medesima organizzazione. “Quasi tutti – ha spiegato Graham Cluley, uno degli esperti di Sophos – riconoscono che lo spam sta rovinando l’uso della rete. Questo worm rappresenta una dichiarazione di guerra contro la comunità antispam, e cerca di distruggere i loro tentativi di rendere la rete libera dallo spam. La conclusione più ovvia è che chi ha realizzato questo worm sia in qualche modo connesso agli spammer. Sarebbe sbagliato presentare questo genere di attività worm come un semplice tiro mancino, questa è un’operazione criminale”.