Roma – Nelle scorse ore il centro antivirus dell’azienda specializzata britannica Sophos ha dato la notizia dell’avvistamento di un nuovo virus-worm, denominato “Miss World”.
Stando a quanto riportato da Sophos e, nelle ore successive, anche da altri specialisti del settore, tra i quali i laboratori SARC di Symantec, il worm è altamente distruttivo se viene attivato ma la sua diffusione non desta alcuna preoccupazione. Addirittura Sophos rivela: “Al momento Sophos non ha rilevato alcuna infezione ma ha rilasciato questo avviso per l’interesse dei media”. E, in effetti, questo worm è interessante.
Il codicillo si diffonde via posta elettronica sfruttando, come tanti altri predecessori, la rubrica di Outlook dei file che riesce ad infettare. Il messaggio che lo contiene si presenta con la frase “Miss World” nel subject.
Il testo è invece: “Hi, (nome del destinatario), Enjoy the latest pictures of Miss World from various Country” (trad: “Ciao, divertiti con le ultime fotografie delle candidate Miss World da diversi paesi”). Nel testo si infila automaticamente il nome che la rubrica di Outlook associa all’indirizzo email a cui invia il messaggio infetto, un elemento pensato evidentemente per ingannare chi riceve quell’email e spingerlo a ritenerla “legittima”.
Il file allegato è misworld.exe, oppure MissWorld.exe, MWld.exe o MWrld.exe. In tutti i casi si tratta di un.exe da 131.072 byte, un eseguibile che, come tale, sembra destinato a mettere in allarme gli utenti che più difficilmente saranno portati ad aprirlo.
Se il file viene aperto, parte un’animazione in Flash che presenta un piccolo “cartone animato” (riprodotto qui a fianco) con la scritta: “Mi innamoro di più di te ogni giorno!”. Non contento, il virus inizia a mostrare immagini che vengono spacciate come quelle delle candidate al concorso di bellezza Miss World. Le immagini mostrano quella che si presenta come “Miss Africa” (la cui testa viene rimpiazzata da quella di un gorilla), come “Miss Finlandia” e infine come “Miss Gran Bretagna”. Il volto di quest’ultima è stato sostituito da quello di Rowan Atkinson, il celebre autore-interprete del personaggio televisivo Mr Bean.
Il problema vero, per chi dovesse mai avere il computer infettato da questo codice, sta però nel fatto che il virus infila nel file autoexec.bat sulla root di C: un comando che, al successivo riavvio del computer, tenterà di cancellare i file user.dat e system.dat e tenterà poi di formattare il disco C:. Il tutto facendo apparire a monitor la frase: “This Everything for my Girl Friend…., (CatEyes, KRSSL, SS Hostel)”.
Si dovesse mai incorrere in questo virus, cosa che sembra fortunatamente improbabile, si potranno utilizzare gli antivirus dei diversi produttori che in queste ore vengono aggiornati per riconoscere e distruggere il virus. Di sicuro, la prima cosa da fare è aprire autoexec.bat e verificarne l’integrità, cancellando il comando “Format C: /q /autotest” che il worm infila al suo interno.