Milano – Win32/Winevar, anche noto come Korvar, è un nuovo verme che si diffonde attraverso Outlook e Outlook Express sfruttando due vecchie falle di Windows: la ” Microsoft VM ActiveX Component ” e la “Automatic Execution di Embedded MIME type”, che consente l’immediata esecuzione di un allegato di posta quando il messaggio viene aperto o ne viene fatta l’anteprima. Secondo Symantec, però, il codice di questo worm contiene un bug che gli impedisce di sfruttare con successo quest’ultima vulnerabilità.
Trend Micro afferma tuttavia che Winevar si sta diffondendo piuttosto velocemente e avrebbe già creato diversi danni in Francia e Spagna, i paesi al momento più colpiti da questa nuova minaccia di bit e byte. La sua pericolosità è data dal fatto che, una volta installatosi nel sistema, è spesso in grado di cancellare tutti i file presenti sull’hard disk. In Italia, per il momento, Korvar appare poco più che una curiosità.
Il worm si propaga usando il proprio motore SMTP (Simple Mail Transfer Protocol) e inviando e-mail agli indirizzi che raccoglie dai file HTML che trova sul sistema infettato. Le e-mail inviate hanno un header simile al seguente:
Subject: N`4_
Message Body: –
Attachments:
WIN .GIF (120 bytes) MUSIC_2.CEO
WIN .TXT (12.6 KB) MUSIC_1.HTM
Una delle caratteristiche di Winevar, sempre più comune nei worm di nuova generazione, è quella di essere in grado di “uccidere” alcuni noti antivirus e firewall personali. Subito dopo il riavvio, questo worm cancella tutti i file dal disco fisso locale, tranne quelli attualmente attivi sul sistema.
?Questo dimostra che gli utenti informatici non devono cullarsi in false sicurezze date dalla relativa mancanza di attività virale negli ultimi mesi”, ha detto Raimund Genes, presidente delle european operations di Trend Micro. “Questa volta i creatori di virus si sono ripresentati con un worm particolarmente distruttivo, contro il quale gli utenti possono proteggersi scaricando un antivirus aggiornato e alzando i livelli di attenzione”. E, si potrebbe aggiungere, applicando patch rilasciate oltre un anno fa.