Occhio! Southpark è una mezza bufala

Roma – Alcuni organi di stampa italiani hanno dato ieri la notizia di una epidemia da SouthPark, epidemia di cui, però, non si hanno conferme di alcun genere dagli osservatori di settore. Non solo, SouthPark oltre ad essere il nome di una celebre bufala che gira per la Rete da tempo, è un worm facilmente riconoscibile e tutt’altro che nuovo, come è stato detto, ma vecchio ormai di quasi un anno.

Il worm, inoltre, non ha effetti distruttivi sull’hard disk dell’utente che dovesse venirne colpito, contrariamente a quanto affermato da alcuni giornali nostrani, né può “nascondersi nella posta elettronica”, visto che arriva con gran clamore: in un messaggio scritto in tedesco con un file eseguibile in allegato e dunque immediatamente riconoscibile per lo meno in Italia anche dall’utente meno esperto. Va anche detto che qualsiasi antivirus, pur non molto aggiornato, è perfettamente in grado di individuare il worm e distruggerlo. Inoltre il file infetto si chiama Southpark.exe e non “South Gate” come l’ANSA ed altri hanno riportato. Stando ai database delle maggiori case antivirus, non esiste alcun file-virus con quel nome in effetti.

Il wormino, quello vero, fu scoperto lo scorso maggio da Computer Associates ed è pensato per invadere i sistemi Windows, anche Windows2000, attraverso Outlook, l’applicazione di posta elettronica.

Il subject del messaggio che lo diffonde è “Servus Alter” (qualcosa come: “ciao ragazzo”) e la frase nel corpo dell’email è “Hier ist das Spiel, das du unbedingt wolltest!;-)” (“Eccoti il gioco che hai sempre cercato”). In attachment, come detto, il file SouthPark.exe. Per la lingua utilizzata si è sempre ritenuto che il virus fosse di origine tedesca, e non americana come scritto da molti.


L’autore del worm ha puntato sul nome del file per cercare di farlo aprire dal più alto numero possibile di utenti, visti i numerosi estimatori dell’omonima serie di cartoon SouthPark.

Il codice è Visual Basic 5 e per “girare” ha bisogno che nel sistema sia installato sotto windows/system il file MSVBVM50.DLL. Una volta attivato, il worm si autoinvia a tutti gli indirizzi contenuti nella rubrica di Outlook e copia sé stesso con il suo nome nelle root di tutti i drive che riesce a raggiungere. Dopodiché si copia sotto c:winguard.exe e si infila nel registro per essere attivato ad ogni reboot del sistema.

Non si ferma qui. Il virus continua la sua azione creando due file, C:Windowsstart.dll e
C:Windowssystem.dll, pensati per “segnarsi” la data della prima infezione nel sistema e il numero di volte che il computer è stato riavviato dal momento dell’infezione.

Quando il computer viene riavviato per la prima volta dopo aver contratto il virus, viene creato un file, C:WindowsSwapfile.vxd, che all’interno contiene codice senza senso e che diventa mano a mano sempre più vasto fino ad occupare tutta la memoria del disco rigido.

Per distruggere il virus occorre cancellare manualmente tutti i file creati dal virus, che si possono riconoscere anche dopo l’infezione per data, dimensioni e contenuto.

Va detto che South Park è anche il nome di un fantomatico virus di cui si parla in una email di “avvertimento” che ancora gira sulla rete. Si tratta di una bufala che continua “a vivere online” perché alcuni di coloro che la ricevono la prendono per buona e la reinviano a loro volta ad amici e conoscenti…