Web – L’ultima novità in fatto di worm-virus dalle grandi ambizioni di popolarità è un codicillo che sembra inquadrare nel mirino nientemeno che il chairman Microsoft, Bill Gates.
Il virus-worm è pensato per aggredire i server Internet sui quali gira Internet Information Server (IIS), diffusissimo prodotto Microsoft di gestione server. E una volta “dentro” cerca di inviare tonnellate di posta elettronica all’indirizzo gates@microsoft.com. Non contento, il worm è pensato per lanciare attacchi denial-of-service (DoS) contro Microsoft. Dunque se si diffondesse, non pochi problemi potrebbero derivarne ai serveroni Microsoft.
Per questo Symantec ha definito il nuovo worm “DoS.Storm.Worm”, per indicare la sua funzione di “invio di massa” di messaggi dai server Microsoft IIS e l’altra funzione, quello di attacco a Microsoft via DoS. I suoi effetti potrebbero dunque rallentare le capacità operative dei server aggrediti con un’azione che si configura come uno “spam automatico” ma anche come un attacco vero e proprio.
Stando ai labs Symantec, la diffusione del worm non è preoccupante. Questo si deve probabilmente al fatto che sfrutta una vulnerabilità di IIS nota da un certo tempo e che, dunque, gli amministratori di server dovrebbero già aver “chiuso” con le patch di aggiornamento rilasciate da Microsoft.
Il baco è noto come “Web server folder directory traversal vulnerability”, un problema che consentiva a certe URL, costruite in un modo particolare, di colpire file eseguibili che si trovano su macchine dotate di WindowsNT e che normalmente non possono essere raggiunti dall’esterno del sistema. Ma già lo scorso agosto Microsoft aveva rilasciato le patch necessarie a “curare” il problema nelle versioni 4 e 5 di IIS.
Ma ecco come funziona e come si attiva il virus-worm.
Secondo Symantec, una volta dentro il sistema, il worm fa partire una serie di attività:
la prima è una scansione di altri server IIS che possano essere colpiti allo stesso modo;
la seconda è la partenza di una quantità di messaggi email all’indirizzo gates@microsoft.com il cui testo è costituito da oscenità (“Fuck You!”) contro Bill Gates;
la terza è il tentativo di lancio di un attacco denial-of-service contro l’indirizzo principale di Microsoft, microsoft.com.
Per assicurarsi una certa “longevità” all’interno dei sistemi infetti, il worm infila anche una nuova chiave nel registro che gli consente di essere riattivato ad ogni riavvio del server su cui si trova. In particolare, aggiunge “c:winntsystem32stormstart.bat” alle chiavi:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
e
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun.
Poi cerca di scansionare la Rete a caccia di altri server vulnerabili. Quando li trova, si copia all’interno del sistema e ci si infila dentro. “Di fatto – commentano gli esperti Symantec – trasforma il sistema in uno zombie pronto per partecipare in una cyber-war”.
Secondo Symantec, la qualità delle attività network dei server colpiti dal worm potrebbe risentire pesantemente della sua presenza, che occuperebbe importanti risorse cercando di lanciare attacchi DoS e spedire quante più email possibili.
Se si gestisce un server IIS senza la patch installata, per le versioni 4 e 5 è disponibile un bollettino di sicurezza Microsoft qui , che descrive il problema e consente di scaricare la patch.
Per rimuovere il worm è sufficiente togliere le due chiavi dal registro e cancellare qualsiasi file DoS.Storm.Worm che si trovi nel sistema.
Ti potrebbe interessare
11 giu 2001