Screensaver di Hot.it diffonde virus

Roma – Nel week-end è giunta in redazione una email molto preoccupata di un lettore che si è trovato alle prese con uno dei worm che più hanno scosso la rete, sebbene da tempo la sua diffusione sia ritenuta sotto controllo: Magistr.worm.

E’ accaduto che il lettore di Punto Informatico abbia cliccato su un banner trovato sulle pagine di Hot.it, un portale dell’informazione generalista che offre, tra le varie cose, anche fotografie e screen-saver per “aggiornare il tuo desktop”.

Il banner cliccato, che mentre scriviamo è ancora in rotazione nella sezione “Motori” di Hot, porta ad una pagina (http://www.hot.it/whatshot/sezioni/download/marzo.html) dalla quale è possibile scaricare “saverinstaller.exe”, programmino che contiene lo screensaver del mese. Un programma che è però infetto dal temuto worm Magistr.

Un utente non dotato di antivirus o di un antivirus non aggiornato può rischiare dunque di infettare la propria macchina e, a causa delle caratteristiche del worm, compromettere persino la propria privacy. E’ quindi auspicabile che il file sia ritirato al più presto da Hot.it, in questa occasione involontario “untore informatico”.

Di Magistr.worm si è occupato a suo tempo Punto Informatico perché nella primavera del 2001 è stato uno dei worm più diffusi e subdoli, capaci di trarre in inganno gli utenti e diffondersi a macchia d’olio in mezzo mondo.

La versione individuata sul materiale diffuso da Hot.it è “Magistr.39921” che si comporta come le altre principali “edizioni” di questo worm:

W32.Magistr colpisce tutti i file PE (Portable Executable) di Windows e non tocca le DLL. La sua dimensione è variabile ma non è inferiore ai 25 Kilobyte. Il worm è capace di “contare” i computer collegati ad una rete e di cercare le cartelline di Windows che abbiano come nome “Winnt”, “Windows”, “Win95” o “Win98”. Se una di queste directory contiene il file win.ini, il virus viene copiato all’interno della cartellina e il file viene modificato con l’inserimento di una chiave (“RUN”) capace di avviare il file infetto che si trova nel sistema.

W32.Magistr sa propagarsi via email e dispone di un proprio SMTP per l’invio delle email infette. Utilizza le rubriche di Outlook Express per catturare gli indirizzi a cui auto-inviarsi e sceglie, per le email con cui si propaga, un subject variabile ma con un massimo di 60 caratteri di lunghezza.

Il testo all’interno del messaggio infetto è casuale e può cambiare dunque ad ogni invio. Inoltre, al messaggio infetto può allegare anche fino a cinque file di testo e documenti di Word presi tra i file conservati sul computer infetto.

Altre info su questa versione di Magistr sono disponibili sul sito Symantec .