Web – La questione forse più inquietante sul nuovo worm VBS/Stages è la diversa valutazione che ne viene data da due delle maggiori aziende antivirus. Secondo Computer Associates , infatti, il virus non può provocare i danni di LoveLetter o Melissa e può essere facilmente fermato. Stando a Trend Micro , invece, il worm è pericoloso, potrebbe diffondersi rapidamente e colpire seriamente reti e computer Windows dotati di Outlook.
Stando a Trend Micro, il nuovo codice infetto, denominato ufficialmente “VBS_Stages.A.”, si nasconde in un attachment di posta elettronica denominato “LIFE_STAGES.TXT.SHS”. L’estensione SHS (Shell Scrapt Object) viene “nascosta” da Outlook, cosicché l’utente che riceve l’attach è portato a pensare che si tratti di un innocente file di testo .txt.
Una volta aperto, sostiene Trend Micro, il virus, un codice Visual Basic Script, rinomina e cancella i file di registro e pensa alla propria diffusione, replicandosi su tutti i drive raggiungibili e autoinviandosi via email con Outlook o via mIRC in chat.
Il messaggio infetto, che secondo Trend Micro potrebbe diffondersi molto rapidamente, può arrivare con subject diversi, modificati a caso dal virus stesso, vale a dire: “Funny”, “Fw:Funny”, “Life stages text”, “Funny text” o “Fw:Funny text”. Nel “corpo” dell’email, invece, il messaggio è “The male and female stages of life” oppure “The male and female stages of life. Bye.”
Il worm, quando attivato con la sua apertura da parte dell’utente, si dimostra ben costruito. Apre infatti una finestra di Notepad in cui si legge un raccontino umoristico in inglese sulle “fasi della vita” (Stages of life) dell’uomo e della donna. Mentre l’utente legge il racconto, il virus “si occupa” del sistema.
Secondo Computer Associates il worm è stato individuato soltanto presso due grandi organizzazioni e non dà segni di diffondersi con grande velocità. Stando a Trend Micro, invece, sarebbero quattro le rilevazioni effettuate in punti diversi degli Stati Uniti. Non solo, altre presenze sarebbero segnalate in India e Australia. Domenica, Trend Micro ha deciso di far passare lo status di “pericolo” del virus da “medium” a “high”.