Roma – Finora l’Italia l’aveva solo sfiorata ma dalle segnalazioni che emergono nelle liste e nei newsgroup dedicati nonché da quelle che arrivano in redazione, pare proprio che il virus Hybris, scoperto a fine settembre, abbia valicato le Alpi per installarsi anche qui da noi.
Il virus è noto con diversi nomi, tra cui W32.Hybris@m e W32.Hybris.gen. Arriva in un messaggio di posta elettronica che è riconoscibile dal fatto che né mittente né destinatario vengono indicati. Come attachment al messaggio si trova un file dal nome scritto in maiuscolo ma del tutto casuale e con estensione.exe o.scr. Non essendo inviato da un nome conosciuto dal destinatario ed essendo facilmente riconoscibile come attachment potenzialmente infetto, a settembre non si riteneva che Hybris si sarebbe potuto diffondere più di tanto. Ma già a metà novembre le principali società antivirus avevano avvertito che Hybris era stato avvistato su tre continenti, segno invece di una rapida diffusione.
Il “funzionamento” di Hybris è quello di un worm modulare. Una volta aperto il file, infatti, si installa nel sistema modificando o rimpiazzando il file di Windows wsock32.dll. Una modifica che consente al virus di allegarsi in messaggi di posta elettronica che autoinvia segretamente ogni qual volta l’utente fa partire un proprio messaggio email.
Una volta “dentro” il worm cerca di connettersi al newsgroup alt.comp.virus e, se ci riesce, invia le proprie definizioni sotto forma di plug-in cifrato. Allo stesso tempo controlla se le definizioni presenti sono più aggiornate e in quel caso le scarica per auto-aggiornarsi. I labs Symantec hanno rintracciato dei moduli che, per esempio, consentono al worm di infettare anche file.zip.
Per fortuna Hybris è noto da qualche tempo. Un antivirus aggiornato non dovrebbe avere problemi a individuare e distruggere il worm. L’unico problema è che spesso chi ne è infetto, non sospetta di esserlo.
Ti potrebbe interessare
8 dic 2000