Bin Laden un virus informatico?

Bin Laden un virus informatico?

Dalla Corea del Sud un allarme confermato da Symantec e Trend Micro. Ma sono poche le chance del worm di far del male
Dalla Corea del Sud un allarme confermato da Symantec e Trend Micro. Ma sono poche le chance del worm di far del male


Seoul (Corea del Sud) – C’è un virus informatico il cui nome è quello del terrorista islamico Osama Bin Laden. Lo ha rilevato per prima un’azienda sudcoreana che produce software antivirus. Il file infetto si chiama “binladen_brasil.exe”, un nome che induce a ritenere che il worm possa essere di fabbricazione brasiliana. Secondo l’azienda sudcoreana proprio a Seoul si sarebbero registrati i primissimi casi di “infezione”.

Ahnlab, l’azienda che ha “scoperto” il virus che attacca i sistemi Windows, ritiene che non si stia diffondendo molto e che non sia granché pericoloso. Tanto che la sua caratteristica più evidente sarebbe proprio quella di chiamarsi “Bin Laden”. “Abbiamo ricevuto una segnalazione – ha spiegato Jin Yoon-jung, uno dei dirigenti dell’azienda – da un utente privato che ha ricevuto un’email che aveva il virus in allegato. Ma il suo computer non era infetto perché ci ha segnalato la cosa senza aprire l’email”.

Da lì la diffusione del virus sarebbe aumentata in modo però non preoccupante, come hanno confermato ieri anche Trend Micro e Symantec, due dei maggiori produttori di software antivirus.

Secondo Jin, lo studio del virus avrebbe dimostrato che suo scopo principale sarebbe quello di diffondersi il più possibile, sebbene non rechi danni particolari al computer che aggredisce. E non ci sarebbero segnali capaci di indicare con chiarezza l’origine del worm.

Ad ogni modo, stando ad Ahnlab , che rappresenta comunque il maggior produttore antivirus sudcoreano, l’email infetta arriva con un subject che varia tra: “Bin Laden toilette paper!!”, “Sadam Hussein & BinLaden IN LOVE” e “Is Osama Bin Laden BAD-LOVED?”. L’allegato infetto si chiama, appunto, “BINLADEN_BRASIL.EXE” e il messaggio appare come inviato da “root@fun.com”.

Symantec ha chiamato questo codicillo Toal avvertendo che il subject dell’email infetta può apparire in lingue diverse oltre a contenere un testo diverso ogni volta. Stando a Symantec, il worm sfrutta una vecchia vulnerabilità di Outlook e Outlook Express e tenta di auto-eseguirsi quando il messaggio che lo contiene viene aperto o visualizzato in preview. Ma per questa vulnerabilità da tempo Microsoft ha rilasciato una patch .

Symantec ha spiegato che il worm crea un file, “Invictus.dll”, utilizzato per infettare file eseguibili che si trovino sul sistema. Una volta dentro, il worm crea anche una directory di condivisione sul disco C:. Va detto però che la dll in questione è già sfruttata da altri worm, dunque molti antivirus già sono in grado di bloccarne il funzionamento e rendere anche il worm Toal inefficace.

Oltre alla modalità di diffusione più comune, quella dell’auto-invio a tutti gli indirizzi della rubrica di Windows, Toal sfrutta anche le White Pages di ICQ per “rimediare” tonnellate di indirizzi degli utilizzatori del celebre sistema di instant messaging. Indirizzi ai quali fa poi pervenire copia di sé.

Va comunque segnalato che sia Trend Micro che Symantec considerano questo worm poco più che una curiosità, classificando il rischio e la diffusione al di sotto dei livelli di attenzione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
25 ott 2001
Link copiato negli appunti