Roma – La prima delle segnalazioni a Punto Informatico risale a due giorni fa mentre ieri si sono moltiplicate con il passare delle ore: anche da noi sta girando un messaggio in inglese in apparenza inviato da Microsoft, che però non ha nulla a che vedere con esso, e che porta con sé un virus spacciato come patch. Del virus che genera il messaggio già si sapeva ma il suo livello di diffusione non aveva mai destato preoccupazione: nelle ultime ore però le cose sono un po’ cambiate.
L’email che aggredisce i sistemi Windows è confezionata ad arte e, come si può vedere dal testo pubblicato nella terza pagina di questo articolo, è chiaramente pensata per trarre in inganno un alto numero di utenti. Chi attiva il file allegato all’email (Q216309.exe) non solo viene infettato da un virus ma diventa a sua volta “ripetitore” del virus stesso che si auto-invia in giro per la rete.
Il messaggio invoglia l’utente a cliccare sull’allegato sostenendo che l’attachment sarebbe una patch cumulativa di tutte le vulnerabilità note in programmi ad altissima diffusione come il browser Internet Explorer e Outlook Express. In più, spiega il messaggio-bufala, applicando la “patch” si risolveranno tutta una serie di altri problemi descritti in un bollettino di sicurezza Microsoft.
Il link al sito Microsoft e al bollettino di sicurezza, che si occupa naturalmente di queste materie relative ai prodotti Microsoft, sono inseriti nel messaggio proprio per indurre ancora di più l’utente a credere alla bontà di quanto vi è scritto. Il mittente del messaggio, inoltre, è ben pensato: “Microsoft Corporation Security Center”. Il subject è: “Internet Security Update”.
Dando un’occhiata ai newsgroup internazionali non è difficile notare come la stessa bufala infetta sia arrivata in diversi paesi europei oltreché negli States, segno di un aumento nella diffusione del virus che il messaggio contiene in allegato. Non è un caso che Symantec nelle scorse ore abbia deciso di portare da livello 2 a livello 3 la soglia di attenzione per il worm che, nato il 4 marzo, sembra avere le carte in regola per diffondersi ancora molto.
Di interesse notare, per quanto riguarda il messaggio-bufala, che vi sono alcune lievi differenze nei vari testi diffusi in rete, come le date delle patch fasulle a cui fanno riferimento. Differenze che sono un segno probabile della circolazione di più versioni dello stesso worm.
Ma ecco quali sono le caratteristiche del virus diffuso dalla “bufala Microsoft”.
Il worm che si diffonde con la lettera-bufala si chiama Gibe ed è stato notato dagli osservatori antivirus per la prima volta il 4 marzo. Il suo livello di diffusione, proprio grazie al messaggio “incriminato” in queste ore sta aumentando pur non avendo ancora raggiunto un livello tale da ingenerare seria preoccupazione.
Si tratta di un codicillo che aggredisce i sistemi Windows sui quali sia installato Outlook Express. Dispone di un proprio motore SMTP per auto-inviarsi in giro per la rete e arriva nel messaggio descritto come allegato dal nome “Q216309.exe”. Symantec lo definisce sia worm che cavallo di troia, per le sue insidiose caratteristiche.
Se l’utente apre il file che contiene il worm questo si attiva e da una parte si auto-invia a tutti gli indirizzi della rubrica di Windows nonché in tutti quelli che trova nei file.htm,.html,.asp e.php, dall’altra infila una backdoor, un trojan che permette l’accesso da remoto al sistema infetto.
Il file infetto è realizzato in Visual Basic. Una volta eseguito, si autocopia e crea numerosi file nella directory di Windows: Q216309.exe (contiene il worm), Vtnmsccd.dll (altra copia del worm); BcTool.exe (il tool di diffusione); GfxAcc.exe (il cavallo di Troia che apre la porta 12378); 02_N803.dat (archivia gli indirizzi email trovati dal worm); WinNetw.exe (ricerca gli indirizzi email e prepara i messaggi da spedire).
Fatto questo, il worm pasticcia col registro di Windows e inserisce nella chiave di registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
due valori:
LoadDBackUp C:WindowsBcTool.exe
3Dfx Acc C:WindowsGFXACC.exe
Dopodiché crea una nuova chiave del registro: HKEY_LOCAL_MACHINESoftwareAVTechSettings
e ci aggiunge i valori:
Installed… by Begbie
Default Address Default Email Address
Default Server Default Server
I prodotti antivirus di Symantec e degli altri produttori già forniscono adeguata protezione contro Gibe ma è necessario avere scaricato le ultime definizioni antivirus per prevenire l’infezione o distruggere il worm.
Di seguito il messaggio fasullo creato dal worm.
Ecco il testo dell’email che porta con sé il virus Gibe:
From: “Microsoft Corporation Security Center”
To: “Microsoft Customer”
Sent: Monday, March 11, 2002 12:34 AM
Subject: Internet Security Update
Microsoft Customer,
this is the latest version of security update, the
“6 Mar 2002 Cumulative Patch” update which eliminates all
known security vulnerabilities affecting Internet Explorer and
MS Outlook/Express as well as six new vulnerabilities, and is
discussed in Microsoft Security Bulletin MS02-005. Install now to
protect your computer from these vulnerabilities, the most serious of which
could allow an attacker to run code on your computer.
Description of several well-know vulnerabilities:
– “Incorrect MIME Header Can Cause IE to Execute E-mail Attachment”
vulnerability.
If a malicious user sends an affected HTML e-mail or hosts an affected
e-mail on a Web site, and a user opens the e-mail or visits the Web site,
Internet Explorer automatically runs the executable on the user’s computer.
– A vulnerability that could allow an unauthorized user to learn the
location
of cached content on your computer. This could enable the unauthorized
user to launch compiled HTML Help (.chm) files that contain shortcuts to
executables, thereby enabling the unauthorized user to run the executables
on your computer.
– A new variant of the “Frame Domain Verification” vulnerability could
enable a
malicious Web site operator to open two browser windows, one in the Web
sitès
domain and the other on your local file system, and to pass information from
your computer to the Web site.
– CLSID extension vulnerability. Attachments which end with a CLSID file
extension
do not show the actual full extension of the file when saved and viewed with
Windows Explorer. This allows dangerous file types to look as though they
are simple,
harmless files – such as JPG or WAV files – that do not need to be blocked.
System requirements:
Versions of Windows no earlier than Windows 95.
This update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01
How to install
Run attached file q216309.exe
How to use
You don’t need to do anything after installing this item.
For more information about these issues, read Microsoft Security Bulletin
MS02-005, or visit link below.
http://www.microsoft.com/windows/ie/downloads/critical/default.asp
If you have some questions about this article contact us at
rdquest12@microsoft.com
Thank you for using Microsoft products.
With friendly greetings,
MS Internet Security Center.
Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation.
Ti potrebbe interessare
13 mar 2002