Islandia (USA) – Plage2000, questo il nome di un virus che va diffondendosi sulla rete e che è stato individuato da Computer Associates , una delle società antivirus più attive. Secondo l’azienda il rischio di diffusione ancora non è particolarmente elevato ma le caratteristiche del virus lo rendono un problema potenziale per server di posta e in generale per le infrastrutture di rete.
In particolare P2000 è un worm pensato per autoreplicarsi via email. In particolare la macchina infetta che riceve un messaggio di posta elettronica, automaticamente re-invia una email “segreta” ed infetta al mittente. Il messaggio che porta in attachment il virus quota interamente il testo dell’email e inserisce all’inizio il testo che segue:
“‘ I’ll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! ‘
> Get your FREE P2000 Mail now! <"
(“Cercherò di risponderti il prima possibile/Guarda l’attachment e dimmi che ne pensi/Prenditi la posta gratuita P2000 subito!”)
L’attachment che contiene il worm può essere di volta in volta diverso e Computer Associates ha fatto un elenco dei nomi di file sotto le cui “spoglie” appare: pics.exe, images.exe, joke.exe, PsPGame.exe, newsdoc.exe, hamster.exe, tamagotxi.exe, searchURL.exe, SETUP.EXE, Card.EXE, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe, fun.exe.
Una volta eseguito, il file appare come un file zippato autoeseguibile. Se si “unzippa”, produce questo messaggio:
“WinZip self-Extractor
ZIP damaged: file worm name: Bad CRC number.
Possible cause: file transfer error”
oppure quest’altro:
“WinZip self-Extractor – worm name:worm name – Application Error The exception unknown software exception (0xc00000fd) occurred in the application ….”
Mentre tutto questo avviene, per convincere l’utente che il file in questione è danneggiato o comunque c’è un problema di sistema sconosciuto, in realtà il virus si copia da sé nella directory di Windows in un file di nome Inetd.exe e si aggiunge al file di registro. Da quel momento e ogni cinque minuti, il virus tenterà di autoinviarsi nelle email in arrivo.
Secondo Computer Associates il virus può rappresentare un problema per le strutture di rete. Per eliminarlo l’azienda propone il suo InoculateIT . Per distruggere il virus vanno cancellati tutti i file eseguibili infetti individuati dall’antivirus e se il worm non può essere cancellato allora sarà necessario rimuovere la stringa del file di registro che contiene “Inetd” ed eventualmente anche Win.ini per poi riavviare la macchina e cancellare il file eseguibile.
Intanto è emersa una cifra stupefacente, 12,1 miliardi di dollari, quale volume complessivo della spesa che le aziende in tutto il mondo hanno affrontato nel corso del 1999 per combattere i virus informatici. Il dato arriva dall’osservatorio californiano Computer Economics che ha calcolato non solo le spese preventive, ma anche quelle affrontate dopo gli “attacchi” dei virus.
In particolare, ha affermato il vicepresidente dell’osservatorio Micheal Erbschloe, le aziende devono ripensare le proprie strutture di spesa in merito alla sicurezza informatica: “credo che le aziende che sono state duramente colpite l’anno scorso dai virus non se lo dimenticheranno mai. Alcune delle società più danneggiate hanno triplicato o quadruplicato le proprie spese di prevenzione. L’hanno presa molto seriamente”.
Secondo altri esperti intervistati da Infoworld, i virus continueranno ad intaccare così pesantemente i budget aziendali fino a quando non sarà individuato un modo per autenticare la provenienza di file eseguibili, gli stessi che possono contenere worm e virus di varia natura. Secondo Erbschloe il veicolo preferenziale per l’ingresso di virus in azienda consiste nella navigazione su internet di dipendenti delle aziende che, in segreto, visitano siti pornografici o comunque “ad alto rischio”.