Roma – Un worm che va diffondendosi in Rete in questi giorni ha attirato l’attenzione di tutti perché si diffonde più rapidamente di quanto originariamente previsto e perché fa una singolare operazione di propaganda, proponendo il sistema operativo Linux agli utenti di Windows, che dal worm possono essere “infettati”.
Il worm, chiamato Creative e scoperto da quelli di F-Secure, viene ora considerato uno dei worm a più veloce diffusione del momento.
Il codicillo pare proprio essere stato costruito da un cracker che vuole promuovere Linux ma non ha intenzione di “far del male” ai sistemi invasi dal suo worm. Va detto infatti che Creative, o “Prolin”, che si diffonde come attachment di posta elettronica, dà dell’idiota all’utente che lo lancia ma non crea danni gravi al computer, sebbene il modo in cui si attiva avrebbe potuto contenere istruzioni per cancellare qualsiasi dato dai dischi rigidi del PC colpito.
Nel dettaglio, il virus arriva come attachment di posta elettronica proponendosi come creative.exe, un file da 37 Kilobyte. Se lo si apre, prima di partire con la promozione di Linux, il virus utilizza un sistema che ricorda da vicino Melissa e che gli consente di autoinviarsi di nascosto a tutti i destinatari della rubrica di Outlook con messaggi del tutto identici a quello aperto dall’utente-vittima. Il messaggio del virus, che è scritto in VisualBasic, ha come subject la frase “A great Shockwave flash movie” e nel corpo: “Check out this new flash movie that I downloaded just now… It’s Great. Bye”
A quel punto il worm invia un messaggio di “notifica di infezione” al suo autore, presso la mailbox z14xym432@yahoo.com, un messaggio che ha per subject “Job complete” e per testo: “got yet another idiot”. Fatto questo, il worm si “infila” nel sistema, due volte. Una copia di creative.exe viene inserita nella cartellina di root del disco principale, C:\, e un’altra nella cartellina menù avvio di Windows. La seconda copia viene infilata in quella cartellina per cercare di fare in modo che parta all’avvio di ogni sessione di Windows.
A quel punto il worm fa una scansione di tutti i drive del computer e li rinomina tutti su C: aggiungendo al nome la frase “change atleast now to LINUX”. Dunque un file “peresempio.zip” verrà rinominato come c:\peresempio.zipchange atleast now to LINUX”.
Fatto questo, il codicillo crea su C: un file di solo testo, “messageforu.txt” nel quale si trova una breve dichiarazione e la lista dei file rinominati in quel modo. In particolare:
“Ciao, spero che tu abbia capito il messaggio. Ho tenuto una lista dei file che ho colpito in questo modo. Se sei abbastanza in gamba semplicemente compi il processo opposto. Avrei potuto fare molto più di così, per esempio cancellando interamente il tuo hard disk. Ricordati che questo è un avvertimento chiaro e forte… – Il Pinguino”. Per liberarsi del problema, oltre a cancellare il codice, è sufficiente ri-modificare i nomi di tutti i file coinvolti. Naturalmente per non essere “infettati” è come sempre buona regola non aprire file che arrivano in attachment e che non siano stati preventivamente richiesti al mittente…