Web – Si chiama Gone.Worm il codicillo che va diffondendosi rapidamente in rete e che aggredisce i sistemi Windows generando ancora una volta, come tanti altri virus di questo tipo, l’invio sistematico di tonnellate di email dai computer infetti. Ma, come vedremo, non si diffonde solo per email.
A dare l’allarme in Italia è stata ieri Trend Micro , uno dei principali produttori di software antivirus, che aveva diramato un “Yellow Alert”, un allarme giallo per la diffusione di Gone.Worm. Si tratta di un livello di allarme di “prudenza”, che si basa sulle segnalazioni ricevute e sul potenziale di aumento della diffusione, che appare alquanto elevato.
Anche i labs di Symantec, il SARC , confermano la diffusione del worm che veniva classificato come di livello 3 nel pomeriggio di ieri ma che già nella serata era stato portato a livello 4. Anche in passato, per worm ad alta distribuzione come Badtrans.B in questi giorni, il livello è passato al 4 nel giro di poche ore.
Non è un caso che proprio Trend Micro, nella serata di ieri, abbia comunicato a Punto Informatico di aver portato il livello di attenzione su “Red Alert”. Siamo dunque ad un livello di diffusione notevolissimo e in rapida accelerazione.
Mentre scriviamo alcuni produttori antivirus non hanno ancora messo a punto una cura per evitare che i computer siano colpiti dal worm. Trend Micro offre invece ai propri clienti le modalità di sicurezza del software eManager e un “bandage file” su richiesta. Sempre dal sito di Trend Micro chi non è cliente può comunque scaricare una versione trial di 30 giorni di eManager per proteggere il proprio sistema.
Ecco dunque i primi dettagli sul worm, da conoscere per evitare di rimanerne vittima.
Gone.Worm è un worm pensato per replicarsi nel maggior numero possibile di mailbox, auto-spedendosi dal computer infetto a tutti gli indirizzi contenuti nella rubrica di Windows. Ma non è soltanto la posta elettronica l’unico veicolo di diffusione perché, stando alle prime rilevazioni, il worm ha la capacità di diffondersi anche attraverso le reti IRC, dedicate alle chat room, e attraverso ICQ, il celeberrimo ambiente di messaggistica istantanea che in Italia risulta tra i più utilizzati.
Come spiegato da Trend Micro, per la diffusione via chat il virus fa uso del programma per chat mIRC per installare una backdoor creando il file REMOTE.INI che contiene uno script che viene eseguito ogni volta che si avvia il programma mIRC. L’autore del worm può usare questa estensione per avviare attacchi Denial of Service (DOS) nei canali IRC e tutti gli utenti connessi con lo stesso canale IRC vengono infettati. Per la propagazione attraverso l’applicazione chat ICQ, il worm usa ICQAPI per inviare una copia di se stesso a tutti gli utenti in linea. Le peculiarità del messaggio con cui si diffonde possono fortunatamente essere riconosciute facilmente. L’allegato che arriva con l’email infetta, infatti, si chiama “Gone.src” ed ha una dimensione di 38 kilobyte. Il messaggio stesso ha come subject il termine inglese “Hi” e nel corpo del messaggio il testo:
“How are you?
When I saw this screen saver, I immediately thougth about you.
I am in a harry, I promise you will love it!”
Se aperto, il worm mostrerà l’immagine riprodotta in questa pagina, mentre in background inizierà ad accedere alla rubrica di Windows e a preparare i messaggi da inviare a tutti gli indirizzi che trova. Non contento, piazzerà una chiave di registro qui: HKLM\Software\Microsoft\Windows\CurrentVersion\Run che avrà per valore “Gone.scr”.
Subito dopo apparirà un messaggio di errore fittizio (“Error while Analyze DirectX!”). Al riavvio successivo di Windows, il worm tenterà di cancellare i file relativi ai software antivirus eventualmente installati sul sistema.
In particolare, come dettagliato da Trend Micro, il worm ricerca la memoria per certe applicazioni, (inclusi alcuni personal firewalls e alcuni software antivirus). Questi i file che tenta di cancellare:
IAMAPP.EXE, IAMSERV.EXE, CFINET.EXE, APLICA32.EXE, ZONEALARM.EXE, ESAFE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET32.EXE, PCFWALLICON.EXE, FRW.EXE, VSHWIN32.EXE, VSECOMR.EXE, WEBSCANX.EXE, AVCONSOL.EXE, VSSTAT.EXE, NAVAPW32.EXE, NAVW32.EXE, _AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, AVP32.EXE, AVPCC.EXE, AVPM.EXE, AVP.EXE, ICLOAD95.EXE, ICMON.EXE, ICSUPP95.EXE, ICLOADNT.EXE, ICSUPPNT.EXE, TDS2-98.EXE, TDS2-NT.EXE, SAFEWEB.EXE
Quando trova uno dei file sopraccitati in memoria, termina il loro processo. Cancella inoltre tutti i file nella directory dove il file trovato è
situato. Questa routine disabilita le applicazioni e ne impedisce il pieno
funzionamento.
Se si dovesse essere infettati occorre rimuovere tutti i file nel sistema identificati come “W32.Goner.A@mm” e cancellare la chiave di registro.