Roma – Si chiama “Naked Wife” (Moglie nuda) il nuovo pericoloso worm che è finito in queste ore sulle prime pagine di tutti i giornali italiani, on e off line. C’è da chiedersi perché, visto che in Italia non è stato ancora segnalato dai principali osservatori e il suo effetto sembra limitato ad un certo numero di corporation nordamericane.
Il clamore destato dal virus è tale da aver suscitato le reazioni di numerosi esperti, secondo i quali i media e alcuni produttori antivirus sfruttano i codici informatici come Naked Wife per “fare notizia” o “farsi pubblicità” anche in presenza di un rischio minimo o inesistente.
La verità sembra risiedere nel fatto che il codice è in sé più pericoloso di altri worm in circolazione in queste settimane. Ma è anche più difficile che si diffonda, perché l’email con cui si autoreplica di continuo è facilmente individuabile come email infetta anche dall’utente meno esperto. E, naturalmente, già poche ore dopo l’infezione tutte le case antivirus hanno rilasciato aggiornamenti ai sistemi di difesa che impediscono a “Naked Wife” di propagarsi sui computer protetti.
Symantec ha avvertito che il virus è stato avvistato in qualche decina di grandi aziende nordamericane. In Italia Trend Micro, con cui Punto Informatico ha parlato l’altro ieri in merito al virus, aveva optato per un “allarme giallo” martedì pomeriggio facendolo poi rientrare già in serata.
Altre fonti, confermate da Symantec, sostengono che il virus non è stato avvistato affatto neanche nelle regioni asiatiche, laddove solo qualche giorno fa il worm “Anna Kournikova” era su centinaia di network aziendali. Un ulteriore segno delle scarse capacità di diffusione di “Naked Wife”. Trend Micro proprio ieri ha esternato la propria preoccupazione per l’allarmismo con cui vengono diffuse certe notizie. La portavoce dell’azienda, Susan Orbuch, ha spiegato che “vengono offerte informazioni e curiosità in abbondanza, ma la maggioranza di questi dati sono errati. L’utente è continuamente esposto a disinformazione e racconti dai media e da fiction molto seguite, nei film, in televisione”.
“In realtà – ha sottolineato Orbuch – i virus più dannosi sono quelli che si vedono di meno. Quelli che causano i maggiori danni sono invisibili, non si fanno pubblicità”.
La portavoce di Trend Micro ha concesso che Naked Wife è più distruttivo di una serie di worm apparsi in queste settimane ma, secondo Orbuch, i media spesso causano un panico ingiustificato e questo si traduce in una più alta chance di diffusione per certi virus.
“Una delle nozioni più errate – sostiene Orbuch – è quella che un virus sia per sua natura distruttivo. Quello che lo rende tale è la sua capacità di replicarsi. C’è anche chi pensa che i virus compiano danni gravi all’ hardware. Questo è veramente raro, solo uno o due codici possono farlo”.
E rispetto a Naked Wife, Orbuch ha sottolineato che “è diverso dalla maggioranza dei virus perché ha il potenziale di distruggere alcuni file essenziali del sistema operativo, ma in nessun modo può aggredire l’hardware”.
Eh già, perché basta guardare alcuni dei titoli che i media in queste ore hanno dedicato al virus per rendersi conto dell’allarmismo che circola e che rischia di creare falsi timori, allontanando l’attenzione dai veri problemi legati alla circolazione dei virus. “Quando un utente poco esperto ha un problema – si è lamentata Orbuch – la prima cosa che pensa è che si tratti di un virus. Diventa una sorta di capro espiatorio per tutto quello che può non funzionare in un computer”. E questo fa sì che “ci sia qualcuno che cancella i propri dischi rigidi pensando di avere un virus. Oppure portano il computer all’assistenza e spendono molto per rimuovere un virus che non esiste”.
A dimostrare quanto siano creduloni gli utenti, ha spiegato la portavoce di Trend Micro, basta guardare alle numerose bufale in circolazione che parlano di virus capaci di tutto e di più. “Cosa succede – si è chiesta Orbuch – quando si riceve un messaggio del genere? Si invia a tutti quelli che si conoscono. La bufala riesce a far collaborare le persone nell’inviare tonnellate di posta elettronica”.
In Italia solo pochi giorni fa, come si ricorderà, l’ANSA e Repubblica.it diffusero la notizia di un nuovo terribile virus. Una notissima bufala di cui Punto Informatico aveva parlato ( Fermate la Shadow-bufala ) di recente in diverse occasioni. Sono episodi come questo, sembra sostenere Orbuch, che finiscono per creare una grande incertezza attorno al problema virus.
E se l’ANSA ieri ha pubblicato la smentita grazie ad un comunicato di Microsoft, tirata in ballo dalla bufala, IlNuovo.it sparava : “E ‘ arrivato un pericoloso virus fantasma”.
La soluzione a fenomeni di questo tipo, secondo Orbuch, sta in una massiccia campagna di educazione pubblica che dovrebbe partire proprio dai media, oltreché dall’industria antivirus. E per quanto riguarda l’utente finale, Orbuch consiglia: “La migliore cosa da fare è non cliccare su eseguibili in allegato che finiscano in.EXE. Non ci sono molti.EXE utilizzati nella vita di tutti i giorni, così è meglio non aprirli”.
Il funzionamento di “Naked Wife”, worm che colpisce sistemi Windows dotati di Outlook e Outlook Express, ricorda molti altri worm in merito alle modalità di diffusione ma, come accennato, sviluppa un più alto potenziale distruttivo se viene attivato. Il virus è noto con il nome tecnico di “W32.Naked@mm” ma, in effetti, non è che una versione di “W32.HLLW.JibJab@mm”, da cui prende il nome la schermata che si apre se l’utente che lo riceve decide di attivarlo.
Il worm si presenta come movie in Macromedia Flash allegato di un messaggio di posta elettronica. Il nome del file è “NakedWife.EXE”, il subject del messaggio in cui arriva è “Naked Wife” e il corpo del messaggio è: “My wife never look like that!;-) Best Regards, (UserName)”. Dentro “Username”, il virus scrive il nome inserito durante la registrazione di Outlook sul computer infetto da cui il worm è stato “lanciato”.
Se l’utente clicca sul file, il virus fa credere che effettivamente sia partita una piccola realizzazione in Macromedia Flash e presenta una schermata che invita l’utente ad attendere per la partenza del movie. Mentre l’utente aspetta, però, il worm passa alla “seconda fase”, che consiste nel nell’inviarsi automaticamente a tutti i destinatari della rubrica di Outlook e, subito dopo, nel cancellare tutti i file.ini,.log,.dll,.exe,.com,.bmp che si trovano nelle cartelline di Windows o di Windows\System.
Se questo accade, è evidente che il sistema diventa instabile e non potrà più essere normalmente utilizzato e si dovrà procedere ad una reinstallazione di Windows. Tutti i maggiori produttori antivirus hanno già aggiornato le proprie definizioni ed offrono quindi completa protezione da questo worm.
A quanto pare, infine, l’FBI sarebbe già sulle tracce dell’autore del virus, che potrebbe essere di origine brasiliana. Nel codice sorgente del virus, infatti, gli esperti hanno rilevato il nome di una persona e persino di un’azienda brasiliana. Symantec ha rilevato un nome utente “MH Santos” e il nome di un’azienda, la “AGF Brasil Seguros”, filiale brasiliana di una corporation francese delle assicurazioni. Secondo Symantec il virus potrebbe essere stato realizzato lunedì scorso proprio in quella sede, sebbene non si possa escludere che i dati ritrovati nel codice sorgente siano fasulli e siano stati deliberatamente inseriti per rendere più difficili le indagini.