Attentati - l'ora del virus-sciacallo

Roma – Symantec lo classifica soltanto a livello 2, e non lo ritiene quindi una minaccia così grave, sebbene alcuni media, soprattutto italiani, lo abbiano già descritto come una catastrofe ambulante. La realtà è che il worm W32.Vote non deve preoccupare gli utenti che abbiano un antivirus aggiornato nelle ultime ore o quelli che non aprono file.exe di cui non conoscano l’esatta origine.

W32.Vote è il nome del worm che attacca sistemi Windows e che finge di chiedere un voto contro la “guerra tra America e Islam” (!). E’ stato realizzato in Visual Basic da uno script-kiddie in cerca di facile notorietà, che potrebbe costargli cara se verrà individuato dalle autorità che indagano su questa infezione.

Secondo Symantec, sono molti i media che ritengono disgustoso che qualcuno possa servirsi delle tragedie costituite dagli attentati a New York e Washington per trarne un vantaggio, perdipiù così futile e insensato. Eh già, perché il worm viene diffuso in una email che lo propaganda come un mezzo per “votare contro la guerra”, cercando così di indurre gli utenti a cliccare sull’allegato infetto che arriva insieme all’email. Una situazione che ricorda da vicino un altro wormino che nei giorni scorsi era stato propagandato come documento da leggere sul World Trade Center (WTC).

Nello specifico, nella lettera giunta a Punto Informatico da Symantec, si legge che il W32.Vote.A@mm è un worm pensato per creare un invio di massa di posta elettronica, come molti suoi predecessori, auto-spedendosi a tutti gli indirizzi della rubrica di Windows presente sul computer infetto.

Non contento, il worm infila nel sistema anche due file.vbs e tenta di cancellare alcune porzioni dei programmi antivirus eventualmente presenti sul computer colpito. Tutti i file con estensione “html” o “htm” che si trovano sul sistema infetto vengono riscritti.

Non corrisponde al vero, invece, quanto riportato dall’ANSA: l’agenzia di stampa italiana ha infatti allarmato molti lettori di Punto Informatico che hanno scritto alla redazione dopo aver letto che il virus cancella “tutto il contenuto” del computer. Forse proprio il lancio ANSA ha indotto anche Repubblica.it all’errore: il quotidiano sosteneva che il virus “cancella la memoria della macchina”. Come vedremo, invece, il worm ci prova ma non può riuscirci.

In realtà il problema maggiore sta nel fatto che il worm tenta di scaricare un cavallo di Troia, che Norton AntiVirus individua come “Backdoor.Trojan”. Se il trojan viene effettivamente installato sul sistema, da quel momento il computer può essere accessibile a chi ha confezionato quel codicillo, e dunque la sua sicurezza è compromessa.

Accorgersi che l’email che arriva è quella infetta non è difficile. L’allegato si chiama “WTC.exe” e, trattandosi di un file.exe, dovrebbe già da solo mettere in allarme l’utente. Ma il pericolo si riconosce anche dal subject dell’email, “Fwd:Peace BeTweeN AmeriCa and IsLaM!”, e dal testo del messaggio:

“Hi
iS iT A waR Against AmeriCa Or IsLaM !?
Let’s Vote To Live in Peace!”

Qualora l’utente cliccasse su WTC.exe e non avesse un antivirus aggiornato nelle scorse ore, il worm si attiverebbe infilando, tra l’altro, due file dentro Windows: “ZaCker.vbs” e “MixDaLaL.vbs”.

Nel primo caso il file, richiamato da una modifica nel registro di Windows al successivo riavvio del computer, tenta di cancellare tutti i file che si trovano nella cartellina “Windows” del sistema. Subito dopo, il worm crea o sovrascrive il file di sistema “autoexec.bat”, dove inserisce un comando per formattare il disco “C” al successivo reboot di Windows.

L’altro file, “MixDaLaL.vbs”, è uno script che viene inserito nella cartellina “System” di Windows e che viene eseguito direttamente dal worm. Quando questo accade, il codice cercherà in tutto il sistema, e anche sui computer collegati in rete, tutti i file con estensione “.htm” o “.html”, e li riscriverà inserendo questo testo:

“AmeRiCa…Few Days WiLL Show You What We Can Do !!! It’s Our Turn >>> ZaCkEr is So Sorry For You”

Una volta riavviato il computer, il worm fa apparire il messaggio:

“I promiss We WiLL Rule The World Again… By The Way, You Are Captured By Zacker!!!”


Dopo l’apparizione del messaggio, il worm tenta di riavviare nuovamente il sistema per consentire l’esecuzione delle istruzioni di riformattazione di C inserite in “autoexec.bat”. Ma, poiché non è stato realizzato da un virus writer di grande esperienza, Windows non esegue l’istruzione poiché il worm stesso cancella il codice necessario a completare l’operazione.

Per rimuovere il worm dal computer infetto, Trend Micro suggerisce di utilizzare regedit.exe per editare il registro di Windows e cancellare la chiave “Norton.Thar” che viene inserita qui:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Inoltre, con qualsiasi editor di testo, come Notepad, si devono rimuovere le istruzioni “”echo Y | format C” dal file “autoexec.bat” che si trova in “C”.
A quel punto, occorre cercare sul computer tutti i file di estensione.htm e.html che abbiano una dimensione di 100 byte (1 KB) e cancellarli.

Una volta fatto tutto questo, occorre naturalmente scansionare il computer con un antivirus aggiornato.

Symantec ricorda anche tutti i problemi che possono derivare al sistema qualora il Backdoor.Trojan venga efficacemente installato dal worm. In particolare, l’azienda sottolinea come l’autore del trojan in questo caso possa:

– rubare o modificare le password o i file che le contengono
– installare software per connessione da remoto, cioè una “backdoor”
– infilare un sistema capace di individuare tutte le sequenze di pulsanti premuti sulla tastiera
– riconfigurare un eventuale firewall di protezione
– sottrarre, modificare o cancellare dati personali, file e documenti riservati
– inviare, dall’account email dell’utente colpito, qualsiasi materiale
– impedire all’utente l’accesso a propri file
– cancellare ogni traccia delle sue azioni

“Se si vuole essere certi – spiega Symantec – che la propria organizzazione sia sicura, è necessario re-installare il sistema operativo e utilizzare il backup dei dati eseguito prima dell’avvenuta infezione. Dopodiché bisogna cambiare tutte le password che si trovavano sul computer infetto o che da lì risultavano accessibili”.