Roma – Sembra che i creatori di virus non si fermino più nemmeno difronte ai sentimenti. “ILoveYou”, riporta il soggetto dell’infame lettera, ma dietro vi si cela un tradizionalissimo virus da e-mail, scritto in VBScript e capace di auto-replicarsi attraverso l’invio di messaggi a tutti i nominativi della rubrica di Outlook e di mIRC. All’interno di queste e-mail si trova il messaggio “kindly check the attached LOVELETTER coming from me.” e in allegato il file “LOVE-LETTER-FOR-YOU.TXT.vbs” che, se aperto, infetta il sistema. Ma la cosa che più colpisce è la rapidità del tutto senza precedenti con sui il codice si va diffondendo sulla rete.
La tecnica utilizzata da questo virus è quella già vista in altri trojan tipo Melissa o Happy 99, con la differenza che, per ingannare meglio anche gli utenti più smaliziati, il creatore ha utilizzato un artificio già adottato dal virus VBS/Freelink, un noto “warm” diffusosi qualche tempo fa soprattutto via IRC. In pratica la vera estensione del file, in questo caso .vbs (ma poteva essere .pif, .msc od un qualsiasi altro formato eseguibile di Windows), viene celata dietro ad un’estensione “non sospetta”, come .txt, .jpg o .avi, l’unica visibile dall’utente. Questo è reso possibile dal fatto che in Windows esiste l’opzione “Nascondi le estensioni dei file per i tipi di file conosciuti” abilitata di default. Per disattivarla basterà andare in Gestione Risorse/Opzioni Cartella/Visualizzazione e levare il segno di spunta sulla relativa voce. In questo modo sarà immediatamente possibile accertarsi che i file pervenutici attraverso la posta elettronica, IRC o qualsiasi altro servizio di Internet, siano effettivamente quello che “dicono di essere”… In mIRC, invece, sarebbe prudente aggiungere in File/Options/DCC/Folders tutte le estensioni tipiche dei worm script nella casella “Ignore file types”: in questo modo il programma rifiuterà a priori la ricezione di file sospetti provenienti da altri utenti.
Oltre a replicarsi via e-mail, LoveLet si preoccupa di rinominare i file .mp3, .jpg ed altri tipi ancora in .vbs in cui infila il virus. Inoltre tenta di scaricare un file .EXE da quattro siti Internet… Solitamente i programmi scritti in VBS funzionano solo sui sistemi Windows 98/2000, ma divengono vulnerabili anche Windows 95 ed NT4 nel caso vi sia installato Internet Explorer 5. Pare che non corrano rischi, invece, coloro che hanno disabilitato gli Windows Script Host o applicato le recenti security patch di Microsoft.
Le prime a lanciare l’allarme sono state due società inglesi di prodotti per la sicurezza, GFI e Sophos, che hanno battezzato il nuovo virus con il nome “VBS/LoveLet-A”, ma che altri chiamano “VBS/LoveLetter”, definendone anche un’origine abbastanza certa: le Filippine.
Dopo aver già messo in ginocchio alcune grosse aziende londinesi, fra cui una con 7mila dipendenti, LoveLet ha rapidamente raggiuno il resto dell’Europa e, proprio in questi giorni, anche l’Italia. Ne abbiamo avuto conferma dalle numerose mail contenenti il famigerato soggetto “ILOVEYOU” che sono pervenute ieri in redazione.
Sembra che la velocità di diffusione di LoveLet sia superiore persino a quella di Melissa e purtroppo, da quello che possiamo vedere, anche qui in Italia non mancherà di espandersi a macchia d’olio. Fortunatamente proprio in queste ore praticamente tutti i maggiori produttori di antivirus hanno annunciato la disponibilità di nuovi aggiornamenti in grado di riconoscere il pericolo. A onor di cronaca bisogna dire che uno dei primi antivirus ad essere stati aggiornati è il gratuito Inoculate Personal Edition di Computer Associates .
Ti potrebbe interessare
5 mag 2000