Roma – Il primo giorno di ogni mese le macchine infettate dal nuovo worm Maslan lanceranno attacchi distribuiti contro alcuni siti che fanno capo ai separatisti ceceni che combattono per l’indipendenza della repubblica caucasica dalla federazione russa.
Il worm, secondo le società antivirus, si è dimostrato capace di diffondersi in modo non trascurabile soprattutto in nord America. Seppure non paragonabile alle peggiori epidemie, la diffusione di Meslan colpisce proprio per le sue finalità politiche. Va detto però che non è certo il primo codicillo del genere ad assumere anche un “volto politico”. Uno dei più celebri nel 2001, un worm che puntava, con la moltiplicazione di parole chiave, a mandare in tilt Echelon , il sistema di sorveglianza globale gestito da USA, Canada, Regno Unito, Australia e Nuova Zelanda.
Come spiega Sophos, sono otto i siti presi di mira, come www.kavkaz.tv , ma si saprà soltanto tra un paio di settimane, ossia a Capodanno, se Meslan sarà stato o meno in grado di compromettere la loro operatività.
In realtà Meslan preoccupa gli esperti soprattutto perché, come accade ormai sempre più spesso nei worm di nuova generazione, attacca direttamente la privacy degli utenti.
Secondo Symantec, Meslan installa sui computer infetti un keylogger, ossia un software capace di registrare i pulsanti premuti sulla tastiera e, dunque, di catturare password di accesso a dati potenzialmente sensibili. Non solo, Meslan è pensato per disabilitare firewall e antivirus presenti sulla macchina vittima.
Per riprodursi, Meslan utilizza la solita email confezionata per utenti Windows, un’email con allegato infetto (“playgirls2.exe”) che, una volta attivato, lavora per auto-spedirsi a tutti gli indirizzi che trova sul computer. Ma, a differenza del solito, Meslan tenta di evitare di essere spedito a siti di sicurezza e centri antivirus, inserendo una serie di parole chiave (come “abuse” o “spam”) con la quale filtra gli indirizzi email individuati sul computer vittima. In questo modo probabilmente i virus writer che hanno confezionato il worm speravano di rallentare o rendere più difficile agli esperti di sicurezza seguire la sua diffusione.
Le email infette si riconoscono perché, almeno nella variante di Meslan ora in circolazione, i subject delle email contengono i numeri “123” o “12345”.
Ti potrebbe interessare
14 dic 2004