Roma – Mai in Italia un virus, per quanto pericoloso o veloce nella sua diffusione, aveva mostrato tali capacità di “persistenza”, ovvero di diffusione e moltiplicazione su Internet anche a fronte di una “mobilitazione generale” per sconfiggerlo. Il worm Hybris, nelle sue varianti, è infatti da numerose settimane una “bestia nera” per la Rete in Italia e le segnalazioni che continuano ad arrivare sulla sua diffusione fanno temere che ci vorrà tempo, forse molto tempo, prima di debellarlo.
Il problema principale nella “guerra al virus” sembra risiedere in un banale ma efficacissimo mascheramento di Hybris. Chi riceve il messaggio con l’allegato infetto, infatti, al contrario di quanto avviene con altri virus, non può facilmente risalire al mittente del messaggio stesso, e quindi non può avvertire l’utente di un sistema Windows infetto di quanto sta accadendo. Dunque l’utente che non dispone di un antivirus aggiornato e non controlla i propri sistemi si trasforma in uno “spara-worm” inconsapevole per i propri contatti nella rubrica di Outlook.
Questa situazione mette in allarme alcune mailing list, perché basta un iscritto vittima di Hybris per far sì che in pochi giorni gli altri iscritti ricevano copia del messaggio con l’allegato infetto. E se questo viene aperto da uno di loro, si moltiplica l’effetto, e via dicendo.
L’unica strada per debellarlo, a parte un interessamento diretto dei fornitori di connettività che sembrano già impegnati su questo fronte, è naturalmente dotarsi di un buon antivirus aggiornato e controllare il proprio sistema.
Ma come “funziona” Hybris e quanto è pericoloso?
Hybris è noto con diversi nomi, tra cui W32.Hybris@m e W32.Hybris.gen. Arriva in un messaggio di posta elettronica che è riconoscibile dal fatto che né mittente né destinatario vengono indicati. Come attachment al messaggio si trova un file dal nome scritto in maiuscolo ma del tutto casuale e con estensione.exe o.scr.
Il “funzionamento” di Hybris è quello di un worm modulare. Una volta aperto il file, infatti, si installa nel sistema modificando o rimpiazzando il file di Windows wsock32.dll. Una modifica che consente al virus di allegarsi in messaggi di posta elettronica che autoinvia segretamente ogni qual volta l’utente fa partire un proprio messaggio email.
Una volta “dentro”, il worm cerca di connettersi al newsgroup alt.comp.virus e, se ci riesce, invia le proprie definizioni sotto forma di plug-in cifrato. Allo stesso tempo controlla se le definizioni presenti sono più aggiornate e in quel caso le scarica per auto-aggiornarsi. I labs Symantec hanno rintracciato dei moduli che, per esempio, consentono al worm di infettare anche file.zip.
Per fortuna Hybris è noto da qualche tempo. Un antivirus aggiornato non dovrebbe avere problemi a individuare e distruggere il worm. L’unico problema, come detto, è che chi ne è infetto spesso non sospetta di esserlo.