“Here you have” è l’oggetto incluso in una missiva elettronica che sta facendo furore in questi giorni, buttando giù server e causando grattacapi ad aziende piccole e grandi. La mail è il vettore attraverso cui si diffonde W32.Imsolk.B@mm , un worm che presenta alcuni tratti tipici delle grandi infezioni telematiche del passato e qualche variazione sul tema ancora al centro delle indagini delle società di sicurezza.
Scovato da Symantec e dalle altre software house specializzate, Imsolk.B è la variante di un worm già individuato un mese fa: la mail induce l’utente a seguire un link remoto camuffato da documento in formato PDF, URL che al contrario porta al download di un file eseguibile .scr (estensione storica degli screensaver di Windows) che a sua volta contiene il payload malevolo vero e proprio.
Una volta infettato il sistema, il worm prende a diffondersi attraverso gli script autorun dei drive collegati al PC, auto-inviandosi ai contatti email presenti nella rubrica locale e attraverso i software di instant messaging. Imsolk è inoltre equipaggiato di routine aggressive in grado di disabilitare svariati software di sicurezza eventualmente installati sul sistema.
Il worm – di cui la momento sono in circolazione diverse varianti, avverte McAfee – ricorda le infezioni storiche a cavallo della fine di millennio non solo per la scelta della modalità di propagazione (la posta elettronica) ma anche per la capacità di colpire parecchie organizzazioni di alto profilo in poco tempo.
I report provenienti da varie fonti segnalano la presenza della nuova minaccia sui sistemi di Google, il network televisivo ABC/Disney, Coca-Cola, NASA e altrove. Il provider Comcast sarebbe stato addirittura costretto a spegnere i server di posta elettronica a causa dell’infezione. Imsolk è attualmente al centro degli studi dell’ Internet Storm Center del SANS Institute , mentre la speranza degli esperti è che la dipendenza da una URL specifica permetta di contrastare e mettere fuori gioco l’infezione in tempi brevi.
Alfonso Maruccia