McVeigh morto, sfruttato per un trojan

L'uomo è stato ucciso nei giorni scorsi con una iniezione letale negli Stati Uniti. Ma con il suo nome circola un file che contiene SubSeven, noto codice troiano che prende possesso del computer che lo scarica. Tutti i dettagli
L'uomo è stato ucciso nei giorni scorsi con una iniezione letale negli Stati Uniti. Ma con il suo nome circola un file che contiene SubSeven, noto codice troiano che prende possesso del computer che lo scarica. Tutti i dettagli


San Francisco (USA) – A volte i trojan ritornano, anche se sono noti, anzi notissimi, e hanno già provocato sufficienti danni. Questo è il caso del codicillo diffuso in queste ore sulla rete sotto le mentite spoglie di un video relativo all’esecuzione di Timothy McVeigh, l’attentatore di Oklahoma City giustiziato nei giorni scorsi.

A quanto pare, subito dopo l’iniezione letale con cui McVeigh è stato ucciso, sulla Rete ha iniziato a circolare un messaggio che invita gli utenti a recarsi su un certo sito per vedere il video dell’esecuzione, un video sul quale si è lungamente dibattuto prima dell’esecuzione perché c’era chi voleva trasmettere l’esecuzione in diretta web.

Chi si fosse recato sulla pagina indicata, che è già stata rimossa, avrebbe trovato il “file del video”. Se lo avesse scaricato, l’utente si sarebbe ritrovato con SubSeven nel computer. Gli esperti che si sono occupati della cosa, compresi quelli di Securityfocus.com, hanno confermato che non è possibile stabilire quanti sono gli utenti “caduti nella trappola” nei pochi giorni di vita del “trucco”.

Va detto che SubSeven è un troiano già noto da tempo e gli antivirus più aggiornati dovrebbero essere in grado di bloccarlo. Un firewall ben configurato, inoltre, è certamente in grado di intercettare qualsiasi traffico in uscita generato dal troian.

Lo scorso marzo una nuova versione del codice troiano si era affacciata sulla rete. La versione 2.2 era considerata, dagli esperti di X-Force, più insidiosa della precedente.

Subseven consente a chi lo gestisce di “prendere possesso” del computer della propria vittima, permettendo all’autore di sniffare le password, di ascoltare attraverso il microfono, di vedere attraverso la webcam, di copiare file e via dicendo.

La nuova versione del trojan horse (“cavallo di Troia”), inoltre, sembra essere più semplice da utilizzare, offre una migliore interfaccia e gira anche su Windows NT e 2000.


Subseven è un codice più diffuso di quel BackOrifice di cui molto si è parlato. Il motivo di questa diffusione è che il suo autore, “Mobman”, fin dal febbraio 1999 continua a starci dietro, a diffonderlo e aggiornarlo, al contrario di quanto avviene con BackOrifice.

Il “software” è formato, come in tutti questi codici, da due parti distinte. Il “client” risiede sul computer che lo gestisce mentre il “server” deve essere inserito dall’aggressore sulla macchina dell’utente-vittima.

Una volta “dentro”, il server può consentire non solo di catturare file, brani audio e immagini riservati ma anche di trasformare il computer dell’utente in una macchina per lanciare attacchi Denial of Service di tipo distribuito (DDoS). Si tratta, come noto, di aggressioni verso un singolo target in Rete realizzate mediante l’invio di una moltitudine di pacchetti e di richieste dal più alto numero possibile di computer connessi ad Internet.

Online, Punto Informatico ha individuato nei mesi scorsi alcuni siti che pubblicizzano la versione 2.2 beta 2 di Subseven che consentirebbe, nell’ordine, di: accedere al file manager, a windows manager, individuare qualsiasi file sul computer-vittima, aprire qualsiasi applicativo, gestire i plug-in di sistema, verificare lo stato della connessione, inviare messaggi, sniffare tutti i dati in rubrica e su programmi di instant messaging come ICQ.

Link copiato negli appunti

Ti potrebbe interessare

14 06 2001
Link copiato negli appunti