Roma – Pare proprio che MessageLabs avesse visto lungo quando, l’altro ieri, aveva avvertito che l’epidemia di Badtrans sui sistemi Windows avrebbe potuto andare ben più in là del temuto. Proprio ieri pomeriggio, infatti, anche Symantec ha innalzato a livello 4 la soglia di attenzione per un worm che si sta producendo in una cavalcata di diffusione che ricorda da vicino quanto accadde in tempi recenti con SirCam.
Già, perché fino a ieri si riteneva che Badtrans, emerso sabato scorso, avrebbe seguito la curva di diffusione della stragrande maggioranza dei worm, con infezioni diffuse soprattutto nelle prime 48 ore dall’infezione. Ma non è stato così. Con la riapertura degli uffici il lunedì mattina in Europa (ma segnalazioni arrivano anche dal nord e dal sud America), il worm ha trovato terreno fertile per crescere e moltiplicarsi ed ha quindi accresciuto la propria onda d’urto.
Una delle ragioni di quanto sta accadendo risiede nelle modalità di diffusione del virus, che nella versione più diffusa si presenta con un allegato capace di auto-eseguirsi all’apertura del messaggio di posta elettronica che lo contiene. Ma questo avviene, ben inteso, solo sulle macchine di quegli utenti che utilizzano sistemi di preview del messaggio prima della sua apertura o, nel caso dell’uso di Outlook e Outlook Express, non abbiano applicato patch disponibili già da mesi in rete. Non solo, chiunque disponga di un buon antivirus aggiornato nelle scorse ore dovrebbe trovarsi al sicuro da qualsiasi rischio di infezione.
Un altro aspetto caratteristico del worm che rende più difficile il suo “blocco” è la modifica che compie sugli indirizzi email dai quali viene diffuso. Quando una macchina viene infettata, infatti, tende a spedire una copia di Badtrans a tutti gli indirizzi che si trovano sul computer. Ma l’indirizzo mittente del messaggio non è quello dell’utente colpito dal worm perché a questo viene premesso un underscore “_”. Questo fa sì che se si risponde a chi ha inviato il virus per avvertirlo di quanto ha combinato e non si toglie l’underscore dall’indirizzo, l’email non viene recapitata e dunque l’avvertimento non raggiunge la sua meta.
Non contento, il worm si presenta in messaggi che hanno per subject soltanto “Re:” e chi riceve molti messaggi di posta elettronica può facilmente sbagliare e avviare senza volere l’attività del virus.
Mentre scriviamo, Symantec dà la diffusione del virus come al livello più alto degli ultimi tempi con l’eccezione, come detto, di quanto ha combinato nella sua prima settimana di attività il celebre e ancora diffuso SirCam .
E alla redazione di Punto Informatico arrivano numerose segnalazioni di utenti che affermano di avere le mailbox addirittura intasate da questo virus.
L’epidemia di Badtrans arriva, tra l’altro, in un momento reso ancora più delicato dalla rapidissima evoluzione di un altro worm, Aliz, che secondo gli osservatori antivirus sta conoscendo una nuova spirale di espansione epidemica. I labs di Symantec, i SARC, addirittura pongono la diffusione di Aliz allo stesso livello di quella di Badtrans. Un livello che non viene sposato da altri produttori antivirus ma che comunque induce alla massima prudenza nella gestione della posta elettronica in queste ore.
Di seguito come funziona il worm Badtrans e cosa fare per difendersi.
“W32.Badtrans.B@mm” sta dimostrando in queste ore di essere un codicillo che non va sottovalutato.
Riconoscere l’email in arrivo con Badtrans prima versione non è difficile, perché il nome dell’allegato infetto è uguale al subject dell’email. Symantec nei suoi bollettini si limita a segnalare l’attività di questa versione del worm e, come già spiegato sul numero di ieri , avverte che il subject e il nome dell’attachment sono presi da una lista predefinita di termini: HUMOR; DOCS; S3MSONG; ME_NUDE; CARD; SEARCHURL; YOU_ARE_FAT!; NEWS_DOC; IMAGES; PICS. Ogni nome di file è seguito da due estensioni. La prima è a scelta:.DOC;.MP3 oppure.ZIP. La seconda è.pif o.scr. (dunque: CARD.DOC.PIF, NEWS_DOC.MP3.SCR eccetera). La dimensione di questi allegati è di 29,02 kilobyte.
La seconda versione, quella che sembrerebbe essere la più diffusa anche in Italia, è invece pensata per ingannare l’utente inserendo come subject solo “Re:” con un allegato che in totale pesa 40,3 KB. Sarebbe questa la versione responsabile, secondo MessageLabs, dell’ulteriore diffusione del worm la cui presenza viene segnalata in 98 paesi, a testimoniare l’enorme capacità di riproduzione.
Una volta attivato il worm su sistemi Windows, Badtrans esegue una serie di istruzioni che sono contenute nel suo codice che, come noto, comprende anche un cavallo di Troia capace di registrare in un file di log tutti i pulsanti premuti sulla tastiera.
Nell’ordine: registra tutti i testi digitati su windows, cifra il log, invia il file di log ad uno degli indirizzi inseriti nel codice, invia le password che si trovano in cache, chiude il sistema ad un’ora prestabilita, si inserisce in Windows con il nome di un file di registro (kernel32.exe), usa quello stesso nome come percorso per copiare i propri dati e infila due chiavi nel registro di Windows.
Se si venisse colpiti dal virus, la prima cosa da fare è cancellare o rinominare il file “kernel32.exe” (attenzione: non “kernel32.dll” che è legittimo) in, per esempio, “kernel32.old” in modo da renderlo inattivo. Da cercare e distruggere è anche il file KDLL.DLL, che contiene il cavallo di Troia che archivia nel file “CP_25389.NLS” nella directory di sistema di Windows il log con la registrazione dei tasti premuti sulla tastiera (che viene poi inviata ad un indirizzo di Hotmail). Entrambi i file potrebbero non essere modificabili perché in esecuzione. Va dunque prima rimossa la chiave di registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
Kernel32 = kernel32.exe
Poi, riavviato il sistema, si può procedere alla distruzione dei file.
Il codice trojan che viene infilato nel sistema viene classificato dalla danese F-Secure come “Trojan.PSW.Hooker” (qui una pagina descrittiva ).
Una volta rimossi i file infetti, con il proprio antivirus occorre eseguire una scansione per individuare e cancellare tutti i file che contengono “W32.Badtrans.B@mm”.
In generale Symantec consiglia di:
– Impostare i sistemi di filtraggio delle email aziendali per bloccare tutte le email con le estensioni.scr e.pif
– non aprire e-mail con oggetti corrispondenti ai nomi riportati;
– distruggere tutti i file riconosciuti come W32.Badtrans.B@mm;
– rimuovere e cancellare tutti gli allegati con le estensioni sopra riportate;
– aggiornare le definizioni dei virus.
Per ulteriori info può risultare utile approfondire sul sito del SARC, qui .