Redmond (USA) – Sebbene il nuovo worm W32.Leave.B scoperto dal Symantec Antivirus Research Center (SARC) sia soltanto una variante del già noto W32-Leave e non contenga particolari evoluzioni tecniche, tuttavia si è guadagnato i riflettori grazie al fatto di essere il primo vermicello di questo tipo a diffondersi attraverso un falso bollettino di sicurezza di Microsoft.
Secondo il SARC, infatti, il worm arriva come allegato di posta all’interno di una mail che ha per soggetto la tipica intestazione di uno dei tanti avvisi di sicurezza emessi da Microsoft, “Microsoft Security Bulletin MS01-037”, intestazione che fra l’altro si riferisce ad un bollettino realmente pubblicato, ma che riguarda una falla che nulla ha a che fare con il worm in questione.
Nel corpo del messaggio, l’autore della farsa sembra essersi divertito un mondo a simulare un vero bollettino di Microsoft inserendo firma PGP, disclaimer, link a pagine del sito Microsoft ed altre tipiche sezioni presenti in avvisi di questo genere. Da questa mail si legge che “il virus può colpire i sistemi della maggioranza degli utenti, il rischio è alto, le patch devono essere installate nei sistemi affetti”. Il testo continua poi descrivendo gli effetti del virus, capace, secondo l’autore del testo, di distruggere file e BIOS.
Per applicare la patch, la mail fornisce un URL da cui scaricare il file cvr58-ms.exe che, una volta lanciato, infetterà il sistema con il worm W32.Leave.B.
Secondo gli esperti, il virus non è pericoloso e, come il ceppo W32.Leave da cui discende, può entrare in azione solo se sulla macchina sia già presente un altro virus, il SubSeven Trojan , che gli consentirebbe di controllare da remoto i computer infettati, scaricare componenti aggiuntivi da certi siti Web oltre e accettare certi comandi diffusi via Internet Relay Chat (IRC).
Sembra che il vero scopo del worm non sia quello di distruggere o sottrarre informazioni, bensì quello di utilizzare i computer vittima per guadagnare crediti attraverso la generazione di impression e click su determinati banner e siti.
“Questo è un nuovo tipo di crimine (per un virus informatico, NdR)”, ha affermato Alan Paller, ricercatore presso il SANS Institute. “Io credo si tratti di un crimine finanziario”.
Ti potrebbe interessare
18 lug 2001