Roma – In questi giorni alcuni lettori hanno segnalato a Punto Informatico di aver ricevuto, attraverso MSN Messenger, un messaggio solo in apparenza proveniente da Microsoft che li avvertiva dell’urgenza di scaricare una patch da una pagina Web in tutto simile, nel look, al sito Web del big di Redmond.
Fino a due giorni fa questa pagina era raggiungibile anche attraverso l’indirizzo syntax.at/microsoft, oggi non più attivo.
Sebbene il file che il messaggio ed il sito contraffatto invitano a scaricare, “patch.exe”, abbia un nome già utilizzato da diversi altri virus, fra cui il worm FBound ed i cavalli di Troia NetBus e Globan Bus, esso risulta negativo a tutti i test effettuati con i più diffusi antivirus sulla piazza.
L’autore (o gli autori) dell’inganno, nel testo del messaggio, sostengono di essersi avvalsi del “servizio di messaggistica d’emergenza” di Microsoft. Inutile dire che il big di Redmond non utilizza MSN Messenger per comunicare con i propri utenti, nemmeno in caso di emergenza…
Patch.exe è un file d’installazione di circa 1 MB che, una volta lanciato, installa sotto Windows tutta una serie di file e directory e apre in automatico una connessione a ircd.mircx.com, un sito che tenta poi di raggiungere anche attraverso il browser Web e MIRC, il noto client IRC.
Se la connessione avviene per mezzo del browser, il sito installa sulla macchina dell’utente un client Java con il quale si connette poi in automatico al canale #chat del server IRC irc.mircx.com.
Il programma tenta di connettersi a ircd.mircx.com in modo autonomo sia attraverso l’eseguibile principale, patch.exe, sia attraverso il file windos.exe che installa sotto la cartella “windows”. Questo fa supporre che i due eseguibili facciano parte di uno zombie, uno di quei tool controllabili da remoto a cui i cracker, attraverso IRC, possono inviare istruzioni e prelevare dati: generalmente gli zombie vengono utilizzati per lanciare attacchi distribuiti di tipo denial of service.
Punto Informatico, che ha inviato il file ad un noto laboratorio antivirus per analisi più approfondite, conta di pubblicare al più presto ulteriori informazioni circa la natura e le reali potenzialità del sistema.
Riportiamo di seguito la traduzione del messaggio in inglese che si trova sulla pagina da cui è possibile scaricare la finta patch.
Solo di recente diversi gruppi di sicurezza si sono resi conto che tutti gli attuali browser, incluso netscape e mozilla, contengono una porta aperta (backdoor) che consente agli hacker di entrare su qualsiasi PC prendendone il pieno controllo. Affinché sia possibile sbarazzarsi velocemente di questa “backdoor” noi abbiamo utilizzato il nostro servizio di messaggistica (nel testo originale definito “msging”, NdR) per contattare le persone che non hanno la patch installata. È imperativo che questa patch venga installata il più presto possibile prima che ogni danno malevolo venga fatto ai computer attorno al mondo. Seguire le istruzioni seguenti per istruirvi su come patchare il vostro computer.
Una volta che avete scaricato la patch, semplicemente eseguite la patch così da non essere più affetti dalla backdoor. Per assicurare che tutti siano patchati vi chiediamo di aiutarci a spedire (questo messaggio) ad altri computer non patchati.
– Microsoft.