Roma – Nuovi allarmi vengono lanciati in queste ore per il “pericolo Kriz”, ovvero il pericolo che può rappresentare per l’integrità dei computer degli utenti Internet un virus vecchio di un anno ma dotato di capacità quasi uniche.
W32.Kriz ha un cuore pulsante temibilissimo, lo stesso che ha consentito la diffusione del distruttivo virus Chernobyl (CIH) , uno dei virus che più ha fatto parlare di sé negli ultimi anni. Ma se CIH, creato nel ’97, era fatto per “scattare” il 26 aprile di ogni anno (e nel ’98 i danni ci furono, eccome), Kriz secondo gli esperti potrebbe attivarsi e scatenarsi il giorno di Natale, il 25 dicembre.
Kriz fu scoperto nell’autunno del 1999. Si tratta di un codice capace di colpire tutti i sistemi Windows, anche Windows2000, e le conseguenze della sua attività comprendono la sovrascrittura di certi file su floppy, disco rigido e su tutti gli altri drive del computer infetto o della rete a cui è connesso. Non contento, Kriz cancella le informazioni contenute nel BIOS e in questo senso assomiglia moltissimo al suo “babbo”, il virus W95.CIH.
I laboratori SARC di Symantec mettono a disposizione un’utilità diagnostica online che può essere utilizzata per individuare l’eventuale presenza del virus nel sistema. Un altro tool viene offerto a chi è già stato colpito da Kriz.
Ma ecco tutti i dettagli sul virus.
Kriz, come CIH, non si diffonde via posta elettronica come accade ormai per la grande maggioranza dei più pericolosi virus in circolazione, ma sfrutta i network di impresa o delle grandi organizzazioni per passare da un computer all’altro. Quando si installa in una “vittima”, infatti, tenta di riprodursi all’interno del kernel, il “cuore” del sistema, di tutti i computer e i drive a cui la macchina infetta è collegato.
Il virus agisce colpendo i file PE (Portable Executable): una volta “dentro” il sistema, Kriz cerca di infettare tutti i file che vengono aperti dall’utente o utilizzati da un’applicazione quando viene aperta. La modifica al Kernel32.dll, pensata per consentire al virus di diffondersi, costringe a rimpiazzare quel file per ripulire interamente il sistema, così come tutti i file PE infetti.
Una copia infetta di Kernel32.dll, rinominata in Krized.tt6, viene piazzata dal virus all’atto della prima esecuzione sulla macchina infetta nella cartellina di Windows. Non appena Windows viene riavviato, quel file rimpiazza il Kernel32.dll e a quel punto inizia la sua opera di infezione vera e propria.
I SARC avvertono anche del fatto che di questo virus esistono diverse varianti, le cui differenze riguardano soprattutto i metodi di infezione. Però fino a questo momento è stata rilevata in circolazione solo la variante 3863 che “in più” tenta di accedere a tutti i genere di drive collegati alla macchina infetta ogni volta che tenta di riscrivere file di applicazione o file utente.
Per evitare Kriz e i numerosi altri virus in circolazione di questi tempi, è come sempre necessario dotarsi di software antivirus aggiornati.
Ti potrebbe interessare
22 dic 2000