Roma – Tra la miriade di worm che strisciano per la Rete ce n’è uno che, ormai da qualche giorno, sta infestando le mailbox di molti utenti con messaggi di spam dai testi più vari ed esotici. Si tratta di quello che Symantec ha battezzato Blackmal , un worm per Windows capace di diffondersi sia attraverso le e-mail che le condivisioni di rete.
Oltre a far proprie molte delle caratteristiche dei più recenti worm mass mailer, come la capacità di utilizzare un proprio motore SMTP, disattivare i programmi antivirus, installare backdoor, e raccogliere indirizzi e-mail, Blackmal si distingue dalla massa degli altri vermicelli per l’uso di allegati MIME contenenti file eseguibili codificati in formato uuencode : la tecnica non è inedita, ma può ancora ingannare diversi utenti e software per la sicurezza.
I file MIME dannosi hanno estensioni “innocue” come “.UUE”, “.B64”, “.HQX” e “.BHX”, ma la maggior parte dei client di posta elettronica sono in grado di visualizzare correttamente l’icona del file codificato: per fare un esempio, se l’allegato Attachments00.HQX contiene il file adults.exe , il programma di e-mail assegnerà all’allegato la tipica icona che in Windows contraddistingue i file eseguibili.
Le e-mail con cui si diffonde il worm possono anche contenere file eseguibili non codificati camuffati da file Zip per mezzo del vecchio trucco degli spazi interposti tra falsa e vera estensione (in genere “.pif” o.”scr”). L’elenco completo degli oggetti e dei nomi di file utilizzati da Blackmal è riportato qui da Sophos ).
Se eseguito, Blackmal può fare parecchi danni : ad esempio, scaricare e installare da Internet altri malware, sostituirsi a diversi file di sistema, cancellare file e voci di registro di molti antivirus, disattivare tutti i programmi che si eseguono automaticamente all’avvio di Windows, bloccare mouse e tastiera e infettare altri computer della LAN sfruttando condivisioni di rete scarsamente protette.
Per rimuovere il worm è possibile seguire le procedure manuali indicate dalle società di antivirus (particolarmente dettagliate quelle riportate qui da Trend Micro ) o scaricare il tool di rimozione gratuito fornito da Symantec.