Debellato il worm Zelig?

Tra venerdì e sabato sono moltissimi gli utenti internet italiani che hanno ricevuto una curiosa email che li invitava a scaricare uno screen saver da un sito. Era un worm accusato di essere uno spara dialer
Tra venerdì e sabato sono moltissimi gli utenti internet italiani che hanno ricevuto una curiosa email che li invitava a scaricare uno screen saver da un sito. Era un worm accusato di essere uno spara dialer


Roma – Un weekend da virus quello appena trascorso, caratterizzato da decine e decine di segnalazioni di utenti italiani che hanno ricevuto un’email generata da “Marque.Worm” (o “Voltan”), un codice pensato per intasare il network con le sue email. Ed è forse la prima volta che un worm del genere abbia “parlato italiano”.

Il primo allarme lo ha dato SalvaPC News venerdì parlando della diffusione di una email dal soggetto sempre uguale, “Il momento è catartico” e dal testo decisamente curioso: “Ricevo e cortesemente inoltro,…. un premio per la genialità hanno reso mitico un salva schermo scaricalo, poesie catartiche, che non sai cosa ti perdi ciao”. Il tutto conteneva un link al sito www.francescone.com/index.html, sito che, come ha segnalato attivissimo.net , è ora stato disattivato.

Accedendo al sito, infatti, agli utenti veniva chiesto di scaricare il file Zelig.scr . Spacciato come uno screen saver ispirato alla celebre trasmissione, il file conteneva invece Marque.Worm.

Il worm, capace di colpire tutti i sistemi Windows, si attiva sui computer infetti autospedendo l’email a tutti gli indirizzi presenti nella rubrica di Windows, sfruttando per la spedizione l’account di posta di chi veniva colpito. Proprio quest’ultima caratteristica rende possibile segnalare, a chi spedisce email di quel tipo, la presenza dell’infezione sul proprio computer. Da sabato sera i maggiori software antivirali sono tutti stati aggiornati per scoprire e distruggere Marque.Worm sui computer che ne fossero infetti.

Secondo gli smanettoni di it.comp.sicurezza.virus il worm scarica sul computer dell’utente anche un dialer capace di reimpostare la connessione dell’utente sul numero a pagamento “899208906”, una caratteristica di cui però non parlano gli osservatori antivirus. Eppure proprio questo elemento potrebbe contribuire ad individuare gli untori.

Ad ogni modo, la disabilitazione del sito che diffondeva il worm induce a ritenere che il peggio sia passato e che Marque.Worm sia destinato a divenire un ricordo. Se anche l’autore del worm creasse un nuovo sito, infatti, il fatto che il funzionamento del worm sia noto e che si sia provveduto ad aggiornare gli antivirus ne ostacolerebbe senz’altro la diffusione.

Link copiato negli appunti

Ti potrebbe interessare

26 10 2003
Link copiato negli appunti