Santa Clara (USA) – Arriva dall’AVERT, il laboratorio e osservatorio di Network Associates , l’allarme per MiniZip, un nuovo worm altamente distruttivo che secondo l’osservatorio nelle ultimissime ore ha iniziato a diffondersi molto rapidamente nelle grandi corporation, segno di una improvvisa accelerazione dell’epidemia.
AVERT aveva classificato MiniZip come virus a rischio medio ma ora il rischio è in posizione “high” e l’azienda mette a disposizione la cura sul proprio sito. Da quanto si è saputo si tratta di un ibrido del già noto ExploreZip.worm, un virus che lo scorso giugno ha mietuto molte vittime. L’obiettivo di MiniZip sono i documenti delle principali applicazioni di Microsoft Office, ovvero Word, Excel e PowerPoint. Documenti che, se infetti, vengono distrutti e non possono essere recuperati.
MiniZip è un codice a 32 bit che si autoinvia come reply a tutti i messaggi ricevuti da un utente dotato di applicazioni di posta elettronica su MAPI, come Outlook, Outlook Express ed Exchange, tutti prodotti Microsoft, e Netscape Mail. E ha la caratteristica di essere il primo worm internet compresso autoeseguibile (.exe zippato). Appena arriva sul sistema MiniZip inizia a scansionare tutti i dischi alla ricerca di file .doc, .xls, .ppt, .c, .cpp, .h e .asm. Questi file vengono “svuotati” completamente dei loro contenuti.
Il virus, fortunatamente, è facilmente riconoscibile. Quando si invia da sé si manda sotto forma di file zippato dal nome “zipped_files.exe”. Non solo, si può riconoscere anche dal corpo del messaggio, in inglese: “I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs”.
Il file zippato, se aperto, cosa ovviamente da evitare, offre un finto messaggio di errore “Cannot open file: It does not appear to be a valid archive. If this file is part of a zip format backup set, insert the last disk of the backup set and try again. Please press F1 for help”. Un messaggio standard che ricorda da vicino quello di WinZip, la utility più usata per la decompressione dei file zippati.
Una volta eseguito, il worm si autocopia nella directory di sistema di Windows dove si deposita sotto forma di file “Explore.exe”. Dopodiché modifica il file WIN.INI per far sì di venire attivato ogni volta che Windows viene fatto ripartire. Su WindowsNT, MiniZip modifica anche il file di registro. Dopodiché, proprio come “il suo babbo ExploreZip.worm”, il virus passa a cancellare i dati contenuti nei file sul disco C. Esplorando il resto del sistema passa successivamente a colpire i file di tutti gli altri dischi.
Ti potrebbe interessare
2 dic 1999