Web – La stampa nazionale e internazionale ha dedicato ampio spazio, negli ultimi due giorni, ad un nuovo virus combinadisastri . La notizia è che un un codice inserito in un file eseguibile, che però si presenta come fosse un filmato .avi a luci rosse, può infettare il computer di qualsiasi utente. Una volta dentro il sistema, si legge nelle news del week-end, questo codice sarebbe in grado di scaricare un trojano pensato per far partecipare il computer vittima ad attacchi Denial of Service. In realtà non è così. Ricostruiamo i fatti.
A dare la notizia è stata una poco conosciutà società di sicurezza, la Network Security Technologies, NETSEC , che dopo aver annunciato la diffusione del virus, ha iniziato a lavorare con l’ FBI per capirne genesi e diffusione. Secondo l’azienda, il codicillo consentirebbe all’autore di prendere di fatto possesso del computer dell’utente-vittima, comprese le informazioni più importanti, come le password e i file personali.
Secondo NETSEC, il trojano si diffonde rapidamente e potrebbe colpire facilmente aziende e enti di grandi dimensioni in tutto il mondo. Sarebbero già 2mila i sistemi infetti. Una volta eseguito, informa NETSEC, il virus si installa sulla directory di Windows. Al riavvio del computer, il codice si inserisce nel sistema, si rinomina con un nome generato casualmente, modifica il system.ini e win.ini e il Registro di Windows, poi installa un sistema che gli permette di connettersi a uno o due server IRC. Una volta stabilito il contatto, il virus fa passare ai server il numero IP dell’utente e apre una serie casuale di porte sulla macchina infetta in modo tale da consentirne l’accesso dall’esterno.
Stando a NETSEC, ed è qui il problema, il codice procede allo scaricamento del trojan Sub7 che consentirebbe di prendere pieno possesso della macchina e di trasformarla in una base di partenza per attacchi cyber di tipo DoS (Denial of Service). Sul modello di quanto avvenuto, per esempio, lo scorso febbraio ad alcuni siti molto noti come Yahoo.com e Amazon.com .
Invece Sub7, oltre ad essere ben noto, è un codice che non può lanciare attacchi di tipo DoS. Ciò non significa che si tratti di un software “benigno”, perché anzi consente un maggiore accesso alla macchina infetta. Però in sé non provoca un danno diretto né trasforma il PC in uno sparadati a tradimento. (continua)
Le prime analisi sull’antipatico codicillo tenderebbero a dimostrare che il file, proprio perché mascherato da file .avi, cioè da film digitale, può girare sulla rete perché viene scaricato da utenti ignari. Il file potrebbe trovarsi su siti web, essere inviato per email, passato in una chat room o scaricato da un newsgroup. Anche se i danni, come si è visto, sono limitati, è come sempre buona regola tenere gli occhi aperti.
Le aziende possono da subito prendere dei provvedimenti a difesa dei propri sistemi. A livello di firewall, dunque, occorre impedire qualsiasi connessione in uscita nelle porte 2221, 2222, 6669 e 7000. Su tutti i sistemi vanno fatti girare gli antivirus configurandoli in modo tale che passino al setaccio tutti i file indistintamente.
Sulle workstation e sui PC vanno installati firewall di ultima generazione.
Per rimuovere il trojano, invece, occorre cercare tutti i file .exe presenti sul computer, e in particolare nella directory di Windows, e selezionare quelli che hanno come caratteristiche di base una dimensione da 373 kilobyte e un nome in otto lettere tutte maiuscole. Poi occorre verificare lo stato dei file system.ini e win.ini e ricercare nel registro la presenza del troyan (per esempio in: HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionExplorer).
Per gli utenti domestici, invece, tutto ciò ha senso se di recente si è scaricato un filmato sperando fosse un filmino scoprendo che, però, il computer non riusciva ad aprirlo correttamente. Chi dispone di sistemi non-Windows, inoltre, può dormire sonni tranquilli.
Ti potrebbe interessare
12 giu 2000