Un bufalovirus dalla mezza verità

Roma – Se qualcuno sperava che dopo pochi giorni avrebbe esaurito la sua carica di diffusione evidentemente si sbagliava. Già, perché la circolazione di una email circa l’ennesimo “virus pericolosissimo” non sembra volersi arrestare. L’allarme lanciato da questo “bufalovirus” non è del tutto infondato, ma i toni utilizzati nell’email sono del tutto fuori misura sebbene, per una volta, possano forse servire agli utenti meno esperti per non rimanere contagiati.

Il messaggio, pubblicato nelle pagine successive di questo articolo, parla di un codice della cui diffusione avrebbe avvertito la stessa Microsoft, azienda tirata in ballo a sproposito da decine di email-bufale a causa della sua notorietà anche tra coloro che sono meno esperti di computing o di internet, e quindi più facilmente tentati a rispedire il messaggio di allarme a tutti coloro che conoscono. Eh già, perché anche questa mezza bufala si chiude con un avviso che chiede di inviare il messaggio a tutti gli indirizzi della propria rubrica, un vecchio espediente per provocare una “epidemia” di email che pare ancora funzionare egregiamente, vista l’altissima diffusione ottenuta da questo messaggio.

Di virus informatici ne girano tanti su internet e un utente attivo, che ha molti contatti, difficilmente non ne riceve mai. Il virus a cui sembra accennare l’email-bufala è un codice effettivamente esistente. Si tratta del virus
VBS.Haptime.A@mm, un worm scoperto alla fine dello scorso aprile la cui diffusione viene segnalata ultimamente in “ripresa” dai produttori antivirus. Proprio per la sua aumentata visibilità, Symantec ha recentemente portato da 3 a 4 il livello di attenzione per Haptime, worm che comunque tutti i software antivirus dovrebbero essere in grado di individuare e distruggere senza problemi.

L’email con cui questo worm si propaga in rete si può riconoscere facilmente perché ha come subject la sola parola “Help” (“Aiuto”) e nel corpo nessun testo. Come allegato si trova normalmente il file “Untitled.htm”, infettato con il worm “VBS.Haptime.A@MM”.

Se si clicca su quel file e non si dispone di un antivirus capace di scansionare le email in arrivo o gli allegati e si dispone di un sistema Windows è estremamente probabile che si venga infettati da Haptime. Un problema è dato dal fatto che se il programma di posta elettronica è configurato per gestire messaggi in HTML, l’apertura del messaggio provocherà l’apertura dell’allegato e la conseguente infezione.

Una volta aperto il file, il worm si infila nel sistema con uno dei seguenti nomi: “Help.hta”, “Help.vbs”, “Help.htm” oppure “Untitled.htm”. Subito dopo aggiunge una nuova chiave al registro:
HKEY_CURRENT_USERSoftwareHelpCount e porta avanti una serie molto lunga di operazioni riportate nella prossima pagina.


Immediatamente dopo, il worm cerca file.htm,.vbs,.asp e.htt in tutte le cartelline del sistema, sia in locale che su drive di rete. Se sommando giorno e mese si ottiene il numero 13 nel momento dell’infezione, allora il worm tenta di cancellare tutti i file.exe e.dll che trova sul computer.

Ogni file individuato dal worm viene scansionato per la presenza di indirizzi email. A qualsiasi indirizzo sia trovato il worm provvederà ad inviare un messaggio con un allegato infetto. Inoltre, ogni 366 infezioni, di cui tiene il conto proprio grazie alla chiave di registro, lo script del worm compie una delle due seguenti operazioni:

1. risponde a tutte le email nella “inbox” o “posta in arrivo” inviando un messaggio infetto a tutti i mittenti, con una email che ha per subject un “FW” seguito dall’indirizzo originale dell’utente infettato. Nel corpo del messaggio non c’è scritto nulla e in allegato c’è il file infetto.

2. Invia il messaggio “Help” a tutti i contatti che trova nella rubrica di Windows.

Non contento, dopo aver fatto tutto questo, il worm configura un nuovo wallpaper per il desktop di Windows in modo tale da far apparire un file infetto dal worm in modo che sia attivato ad ogni riavvio del computer. Per nascondersi, la pagina infettata di Active Desktop tenta di utilizzare la stessa immagine che era presente sul desktop al momento dell’infezione.

I file.htt infetti si trovano nella cartellina “web” sotto “windows” e fanno sì che ogni volta che l’utente visualizza le cartelline come pagine web lo script venga attivato.

Infine, il worm configura il formato di invio delle email come HTML dopodiché, piazzando il file nella giusta directory di Outlook Express, fa sì che tutti gli utenti che usano questo client di posta inviino messaggi formattati in HTML e infetti ogni volta che inviano un’email.

Va ricordato, comunque, che ogni antivirus aggiornato è configurato per individuare e distruggere Haptime.

Se per qualche ragione si viene comunque colpiti dal virus, Symantec mette a disposizione gratuitamente online un tool che consente di ripristinare l’attività del sistema prima dell’infezione.

Ma ecco il bufalovirus.


Questo il testo del messaggio allarmistico che sta girando in queste ore:

Subject: “ATTENZIONE!!!”

Testo:

>>Occhio, in 48 ore si prevede il suo inizio a circolare!!
>>
>>
>>STATE MOLTO ATTENTI:
>>Questo messaggio è arrivato oggi, Microsoft ha appena finito di annunciarlo.
>>L’informazione dice così: Se ti arriva una e-mail con oggetto Help, non
>>aprirlo,
>>nè passare il tuo mause sopra o eliminarlo giacchè con solo questi
>>semplici movimenti
>>si attiverà il virus senza bisogno di scaricarlo. Aspetta 48 ore
>>dopo che ti è arrivato per cancellarlo se non lo fai e lo elimini subito
>>il virus si attiverà e inizierà
>>a cancellarti l’hard disck e non ti lascerà entrare nel sistema operativo.
>>
>> > > >
>> > > > Nota:
>>Ti può arrivare da un nome sconosciuto o da uno dei tuoi contatti. E’
>>MOLTO URGENTE, PASSALO A QUALSIASI PERSONA CHE HA IL TUO INDIRIZZO DI
>>POSTA ELETTRONICA!!!