Palo Alto (USA) – Il CERT, il centro di coordinamento per la sicurezza informatica della Carnegie Mellon University americana, ha rilasciato un warning nelle scorse ore appellandosi ai fornitori di servizi Internet: una delle ragioni per la crescente diffusione di Hybris risiede negli open mail relays, server che consentono il passaggio e dunque l’invio di posta elettronica anche da parte di terzi non autorizzati.
Anche questo elemento, dunque, sta contribuendo, secondo gli esperti, a rendere Hybris il virus più invasivo mai apparso finora. L’unico worm che a mesi dalla sua prima apparizione non solo continua a circolare ma anche ad aumentare il numero di “infezioni”. Una situazione dovuta al fatto che spesso e volentieri chi è vittima di Hybris non sa di esserlo e che i messaggi inviati da Hybris sono spesso del tutto “anonimi” e non consentono di risalire facilmente alla fonte. Una situazione che, però, è anche causata, dicono quelli del CERT, da una gestione “allegra” degli open mail relays.
Secondo il CERT “è ben noto che aggressori vari hanno usato gli open mail relay per anni per distribuire posta non richiesta. Di recente, il CERT ha iniziato a ricevere conferme di abusi portati attraverso gli open mail relay per la diffusione di codici dannosi come il worm Hybris”.
“Questo elemento – continua il CERT – rappresenta un pericolo perché chi abusa utilizza sempre più spesso questi mezzi per aumentare il numero di messaggi distribuiti contenenti codici aggressivi. Il tutto sfruttando la banda crescente e la maggiore potenza degli host connessi ad Internet”.
Il problema sta anche nel fatto che sono molti i siti con server open mail relay che potrebbero non sapere di costituire un potenziale veicolo per posta indesiderata, come lo spam, o per la trasmissione di infezioni informatiche come Hybris.
Secondo il CERT, un ulteriore pericolo legato ad Hybris è quello della sua “modularità”, la sua capacità di “cambiare forma”. Come noto, infatti, Hybris interagisce con Usenet per scaricare plug-in e aggiornarsi come deciso dagli autori. Questo significa che è in continuo mutamento e, secondo gli esperti, non è detto che in futuro il worm, oggi quasi innocuo se si eccettua l’intasamento di banda che provoca sulla Rete, potrebbe trasformarsi in un pericoloso tool di attacco su scala internazionale.
Oggi Hybris è noto con diversi nomi, tra cui W32.Hybris@m e W32.Hybris.gen. Arriva, nella variante più difficile da ostacolare, in un messaggio di posta elettronica che è riconoscibile dal fatto che né mittente, né destinatario vengono indicati. Come attachment al messaggio si trova un file dal nome scritto in maiuscolo ma del tutto casuale e con estensione.exe,.scr o.zip.
Altre versioni, che si vanno diffondendo ormai da tempo anche in Italia, comprendono quella che nel messaggio inserisce il testo “Snow White and the Seven dwarves” (“Biancaneve e i sette nani”) con un attachment il cui nome richiama contenuti pornografici. Una email infetta inviata apparentemente da un mittente di nome “Hahaha”.
Il “funzionamento” di Hybris è quello di un worm modulare. Una volta aperto il file allegato all’email, infatti, si installa nel sistema modificando o rimpiazzando il file di Windows wsock32.dll. Una modifica che consente al virus di allegarsi in messaggi di posta elettronica che autoinvia segretamente ogni qual volta l’utente fa partire un proprio messaggio email.
Una volta “dentro”, il worm cerca di connettersi al newsgroup alt.comp.virus e, se ci riesce, invia le proprie definizioni sotto forma di plug-in cifrato. Allo stesso tempo controlla se le definizioni presenti sono più aggiornate e in quel caso le scarica per auto-aggiornarsi. I labs Symantec hanno rintracciato dei moduli che, per esempio, consentono al worm di infettare anche file.zip.
Hybris è noto da molto tempo e un antivirus aggiornato non dovrebbe avere problemi a individuare e distruggere il worm. Il problema, come detto, è che chi ne è infetto spesso non sospetta di esserlo.
Ti potrebbe interessare
6 mar 2001