Web – Arriva con uno o più allegati di posta elettronica il messaggio email che contiene il nuovo W32.Magistr.24876@mm, un worm individuato da Symantec nelle scorse ore a cui viene attribuito un livello di pericolosità medio-alto.
La diffusione del worm è piuttosto rapida sebbene non ancora decisamente allarmante e legata, come già in passato per molti altri codici di questo tipo, alla capacità di aggredire i sistemi Windows e di utilizzare la rubrica di Outlook Express. Una novità è la sua capacità di sfruttare anche l’Address Book di Netscape per individuare indirizzi presenti sul computer infetto a cui inviare un’email a sua volta infetta.
Sul piano “tecnico”, W32.Magistr colpisce tutti i file PE (Portable Executable) di Windows e non tocca le DLL. La sua dimensione è variabile ma non è inferiore ai 25 Kilobyte.
A quanto pare, il virus è capace di “contare” i computer collegati ad una rete e di cercare le cartelline di Windows che abbiano come nome “Winnt”, “Windows”, “Win95” o “Win98”. Se una di queste directory contiene il file win.ini, il virus viene copiato all’interno della cartellina e il file viene modificato con l’inserimento di una chiave (“RUN”) capace di avviare il file infetto che si trova nel sistema.
Come detto, W32.Magistr sa propagarsi via email e dispone di un proprio SMTP per l’invio delle email infette. Utilizza le rubriche di Outlook Express per “catturare” gli indirizzi a cui auto-inviarsi e sceglie, per le email con cui si propaga, un subject variabile ma con un massimo di 60 caratteri di lunghezza.
Il testo all’interno del messaggio infetto è casuale e può cambiare dunque ad ogni invio. Non contento, al messaggio infetto può allegare anche fino a cinque file di testo e documenti di Word. “File – fa notare Symantec – che possono naturalmente contenere dati e informazioni riservati”.
Se l’utente che riceve il virus ne viene colpito, W32.Magistr tenta di individuare Explorer.exe nella memoria e, se ce la fa, vi inserisce in una porzione aperta a scrittura un codice da 120 byte “prendendo possesso” della funzione TranslateMessage.
A quel punto il worm, passati tre minuti dalla sua “installazione”, verifica la presenza sul sistema di Outlook Express, Netscape Messenger o Internet Mail and News. Sfruttando il proprio SMTP si auto-invia con le caratteristiche descritte. Nel frattempo provvede ad infettare tutti i file PE, come detto.
Le possibili conseguenze del worm sono numerose e secondo Symantec ricordano da vicino il virus Kriz . In particolare, il worm potrebbe provvedere alla riscrittura di porzioni dell’hard disk, alla cancellazione del CMOS e al flashing del BIOS.
Le caratteristiche del file infetto includono anche una porzione di codice cifrato polimorfico pensato per rendere più complessa l’attività di “pulizia” degli antivirus.
I laboratori SARC di Symantec hanno comunque messo già a disposizione l’aggiornamento necessario a bloccare il virus ed eventualmente a distruggerlo se si viene colpiti.
Rimane naturalmente valido l’invito di sempre a non aprire file allegati della cui origine non si sia certi e di esercitare cautela anche dinanzi ad allegati provenienti da conoscenti ma che non erano stati preannunciati e dunque “inattesi”.
Ti potrebbe interessare
15 mar 2001