Virus, ragazzini untori riconosciuti

Il maggiore ha 16 anni e verranno ricordati perché autori di uno dei worm che in questi giorni ha maggiormente preoccupato gli osservatori sulla sicurezza. Ora rischiano fino a cinque anni di carcere ciascuno. Pene troppo severe?
Il maggiore ha 16 anni e verranno ricordati perché autori di uno dei worm che in questi giorni ha maggiormente preoccupato gli osservatori sulla sicurezza. Ora rischiano fino a cinque anni di carcere ciascuno. Pene troppo severe?


Roma – Sono novelli untori dell’era digitale e hanno tutti meno di 16 anni: sono i quattro ragazzi che hanno realizzato e distribuito in rete il worm Gone , uno dei worm a maggiore diffusione negli ultimi giorni che ha preoccupato enormemente gli osservatori di sicurezza antivirus su internet.

I quattro sono tutti studenti delle scuole superiori israeliane e nelle scorse ore sono stati arrestati dalla polizia informatica di Gerusalemme. Sfruttando le proprie capacità di programmazione, i quattro hanno creato Gone e sono riusciti a farne partire la diffusione che, come noto, in poche ore ha portato ad una epidemia che si temeva di grandissimo impatto, con infezioni riportate da moltissime corporation, soprattutto in Europa.

L’impatto di Gone, worm che circola come allegato di una email che propone agli utenti Windows l’apertura di uno screen saver che nasconde l’infezione, è stato avvertito anche in Italia sebbene il maggior numero di segnalazioni sia giunto da Francia e Germania. Tra i veicoli di diffusione di Gone anche ICQ e mIRC, due dei più celebri strumenti di instant messaging e chat internet.

Il capo della polizia informatica israeliana, Meir Zohar, ha spiegato che i quattro sono tutti di Nahariya, città del nord di Israele, e hanno già ammesso la propria colpevolezza. Secondo Zohar, alle autorità israeliane ci è voluto una settimana per rintracciare i quattro. Non sono però state fornite indicazioni relativamente alla strada investigativa seguita per arrivare a scoprirli.

Ora, stando alle leggi del paese, se i ragazzi verranno condannati per diffusione di virus informatici, ciascuno di loro potrebbe essere condannato a passare dai tre ai cinque anni dietro le sbarre. Va da sé che se davvero le sanzioni saranno così pesanti si riaprirà il dibattito sul senso di certe misure di repressione del crimine informatico.

Ma ecco qual è il worm che ha inguaiato migliaia di computer e i quattro untori che hanno avuto la bella trovata di realizzarlo e diffonderlo.


Gone.Worm è un worm pensato per replicarsi nel maggior numero possibile di mailbox, auto-spedendosi dal computer infetto a tutti gli indirizzi contenuti nella rubrica di Windows. Ma non è soltanto la posta elettronica l’unico veicolo di diffusione perché, stando alle prime rilevazioni, il worm ha la capacità di diffondersi anche attraverso le reti IRC, dedicate alle chat room, e attraverso ICQ, il celeberrimo ambiente di messaggistica istantanea che in Italia risulta tra i più utilizzati.

Come spiegato da Trend Micro, per la diffusione via chat il virus fa uso del programma per chat mIRC per installare una backdoor creando il file REMOTE.INI che contiene uno script che viene eseguito ogni volta che si avvia il programma mIRC. L’autore del worm può usare questa estensione per avviare attacchi Denial of Service (DOS) nei canali IRC e tutti gli utenti connessi con lo stesso canale IRC vengono infettati. Per la propagazione attraverso l’applicazione chat ICQ, il worm usa ICQAPI per inviare una copia di se stesso a tutti gli utenti in linea.

Le peculiarità del messaggio con cui si diffonde possono fortunatamente essere riconosciute facilmente. L’allegato che arriva con l’email infetta, infatti, si chiama “Gone.src” ed ha una dimensione di 38 kilobyte. Il messaggio stesso ha come subject il termine inglese “Hi” e nel corpo del messaggio il testo:

“How are you?
When I saw this screen saver, I immediately thougth about you.
I am in a harry, I promise you will love it!”

Se aperto, il worm inizierà ad accedere in background alla rubrica di Windows e a preparare i messaggi da inviare a tutti gli indirizzi che trova. Non contento, piazzerà una chiave di registro qui: HKLMSoftwareMicrosoftWindowsCurrentVersionRun che avrà per valore “Gone.scr”.

Subito dopo apparirà un messaggio di errore fittizio (“Error while Analyze DirectX!”). Al riavvio successivo di Windows, il worm tenterà di cancellare i file relativi ai software antivirus eventualmente installati sul sistema.

In particolare, come dettagliato da Trend Micro, il worm ricerca la memoria per certe applicazioni, (inclusi alcuni personal firewalls e alcuni software antivirus). Questi i file che tenta di cancellare:
IAMAPP.EXE, IAMSERV.EXE, CFINET.EXE, APLICA32.EXE, ZONEALARM.EXE, ESAFE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET32.EXE, PCFWALLICON.EXE, FRW.EXE, VSHWIN32.EXE, VSECOMR.EXE, WEBSCANX.EXE, AVCONSOL.EXE, VSSTAT.EXE, NAVAPW32.EXE, NAVW32.EXE, _AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, AVP32.EXE, AVPCC.EXE, AVPM.EXE, AVP.EXE, ICLOAD95.EXE, ICMON.EXE, ICSUPP95.EXE, ICLOADNT.EXE, ICSUPPNT.EXE, TDS2-98.EXE, TDS2-NT.EXE, SAFEWEB.EXE

Quando trova uno dei file sopraccitati in memoria, termina il loro processo. Cancella inoltre tutti i file nella directory dove il file trovato è situato. Questa routine disabilita le applicazioni e ne impedisce il pieno funzionamento.

Se si dovesse essere infettati occorre rimuovere tutti i file nel sistema identificati come “W32.Goner.A@mm” e cancellare la chiave di registro.

Per seguire le novità sulle epidemie informatiche, è disponibile il Canale Virus di Punto Informatico.

Link copiato negli appunti

Ti potrebbe interessare

09 12 2001
Link copiato negli appunti