Roma – Pare che i creatori di “malware”, quei codici maliziosi che spesso arrivano per e-mail, abbiano scoperto un nuovo trucco per aggirare le protezioni di Outlook Express e indurre un utente ad aprire un messaggio contenente un allegato eseguibile.
Secondo quanto riportato in un recente advisory dalla società di sicurezza MessageLabs, il nuovo metodo scovato dai creatori di virus per superare i filtri di posta elettronica si basa sulla creazione di speciali e-mail contenenti un’intestazione confezionata ad hoc e un allegato con tre estensioni del file separati l’uno dall’altro da molti spazi: il principio è il medesimo di quello già da tempo utilizzato dai creatori di worm per tentare di nascondere la vera natura di un allegato.
La novità, rispetto agli exploit del passato, sta nell’adozione di una terza estensione: la prima (ad esempio “.JPG”) è quella visibile all’utente; la seconda (ad esempio “.EXE”) è quella che stabilisce le modalità con cui Outlook Express deve aprire o eseguire l’attachment; la terza (ad esempio “.JPG”), è quella che definisce l’icona con cui viene visualizzato il file.
I client di posta elettronica standard non generano le intestazioni necessarie per sfruttare questo exploit: queste e-mail malevoli possono essere create solo attraverso l’editing manuale delle stesse o l’utilizzo di strumenti di hacking.
“Se il nome del file usato per l’allegato malevolo termina con una estensione “sicura”, per esempio “.JPG” o “.HTM”, difficilmente i più comuni filtri fermeranno l’e-mail e impediranno l’esecuzione di programmi potenzialmente pericolosi”, si legge nell’advisory di MessageLabs. Questo perché la stragrande maggioranza dei filtri oggi usati per le e-mail in genere si limitano a verificare solo l’ultima estensione del file, bloccando di conseguenza cose tipo “.JPG.EXE” ma non “.EXE.JPG”.
MessageLabs spiega anche che in tutte le versioni di Outlook Express in cui siano state applicate le patch di sicurezza o i security pack già da tempo disponibili, gli allegati non saranno in grado di aprirsi automaticamente: questo significa che il computer verrà infettato solo nel caso in cui l’utente lanci di propria iniziativa l’allegato malevolo.
MessageLabs sostiene che la tecnica descritta è già stata utilizzata in un recente worm chiamato Sadhound e sarebbe alla base di alcuni nuovi tool per la creazione automatica di worm e cavalli di Troia. L’azienda raccomanda agli amministratori di sistema di verificare attentamente le regole per il filtraggio delle e-mail e, se possibile, aggiornarle per riconoscere le tre estensioni. Per gli utenti il consiglio è quello di verificare che il nome di un allegato non finisca con i tre puntini di sospensione: in questo caso, infatti, significa che il nome è più lungo di quanto Outlook Express non riesca a visualizzare e, con tutta probabilità, non è quel che sembra essere.