Roma – Un vermicello di nome Henpeck, anche conosciuto come Rodok o Fleming, si è limitatamente diffuso nei giorni scorsi attraverso il network di MSN Messenger, il noto client per la messaggistica istantanea di Microsoft. Il worm, scritto in Visual Basic 6 e apparentemente originario della Norvegia, arriva sotto forma di un messaggio che invita l’utente a cliccare su di un URL e scaricare un file eseguibile di nome BR2002.exe .
Il messaggio, in inglese, recita così:
“Hey!! Could you please check this program for me?:) I made it myself and want people to test it. Its a readme with the program that explains what it does! (link al file) <- There you can download it! give me advices on what to upgrade please!!".
Questo stesso messaggio viene inviato ai contatti che si trovano nella rubrica di MSN Messenger dell’utente infettato.
I produttori di antivirus affermano che il link ad Henpeck non è più raggiungibile, pertanto la diffusione di questo worm sembrerebbe al momento ferma. In ogni caso gli utenti già colpiti, e spesso ignari di esserlo stato, sarebbero un numero non del tutto trascurabile.
Symantec spiega che, una volta eseguito, l’antipatico software mostra una piccola finestra dotata di due bottoni: “Generate” e “Quit”. Se si clicca sul primo, il programma visualizzerà uno pseudo codice seriale: in questo modo, secondo gli esperti, il vermicello tenta di mascherarsi dietro il tipico aspetto di un key generator. In realtà Henpeck tenta di riconnettersi alla stessa pagina Web da cui è stato scaricato per cercare versioni aggiornate di sé stesso e scaricare un cavallo di Troia da installare nel sistema della vittima.
Il particolare cavallo di Troia installato da Henpeck, che Symantec chiama W32.IRCBot.Gen, può essere controllato da un aggressore con comandi inviati attraverso IRC. Questo troiano viene riconosciuto da tutti i maggiori software antivirus.
Henpeck cerca poi sul sistema un’installazione del celebre videogioco Half-Life e del suo add-on Counterstrike e, se li trova, invia le rispettive CD key ad un utente di MSN che ha l’indirizzo e-mail styggefolk@hotmail.com.
Lo scorso marzo PI segnalò la circolazione su MSN Messenger di un messaggio che invitava gli utenti a scaricare una falsa patch da un pagina del tutto simile, nel look, a quella del sito di Microsoft.
Ti potrebbe interessare
14 ott 2002