Virus/I nuovi vermi della Rete

Cosa sono, chi sono e come proteggersi dalla nuova generazione di Internet Worms, quei virus che si diffondo attraverso la posta elettronica in formato HTML


“Non eseguire mai alcun file di cui non si conosca la provenienza”, è una delle regole del mondo del PC più conosciute e osservate per evitare il contagio da virus.
Già qualche anno addietro con il BackOrifice, rispettando tale regola, parecchi hanno evitato che il lamer di turno potesse accedere alle risorse del proprio computer, ma nuovi virus aventi come capostipite il BubbleBoy, sono riusciti a invalidare tale teorema: basta ricevere una mail che sia stata infettata con uno di questi worms perché anche il proprio computer ne sia colpito.
Perché tali virus possano agire, devono però verificarsi le seguenti condizioni: deve essere presente Internet Explorer 5.0 e deve essere installata l’opzione “Windows Scripiting Host” (WSH) che viene installata per default con Windows 98.

BoubbleBoy è inserito all’interno delle e-mail scritte in formato HTML, la prima variante, dunque, ai classici virus scritti in Visual Basic che si diffondono sotto forma di allegati di posta elettronica.
Questo worm, che “funziona” solo con MS Outlook e MS Outlook Express, si comporta in maniera differente a seconda della versione in possesso dell’utente. Con Outlook, BubbleBoy richiede che si apra il messaggio, non attivandosi invece con la semplice anteprima, cosa che accade però con Outlook Express, dove basta leggere il messaggio in anteprima per attivare il virus.

Lo script è capace di attivarsi a causa di un buco nella sicurezza dei prodotti di Microsoft che permettono l’esecuzione di due controlli potenzialmente pericolosi di Active X: scriptlet.typelib e Eyedog.
Dopo che lo script in Visual Basic viene eseguito, BoubbleBoy scrive il file UPDATE.HTA nella macchina locale e al riavvio successivo, tale file verrà invocato. Il file UPDATE.HTA contiene il codice per eseguire le seguenti opzioni:

– cambia la voce del registro contenente il nome del proprietario con la stringa “BubbleBoy”;
– cambia il nome dell’organizzazione in “Vandelay Industries”;
– manda dei messaggi e-mail infetti a tutti gli indirizzi presenti nella rubrica di Outlook;
– crea una chiave nel registro in cui memorizza gli indirizzi e-mail a cui è già stato inviato il virus, in questo modo evita di rimandarlo due volte.

Il messaggio mandato dal BubbleBoy dovrebbe avere il seguente formato:
From:
Subject: BubbleBoy is back!
Body: The BubbleBoy incident, pictures and sounds http://www.towns.com/dorms/tom/bblboy.htm

La pagina a cui si riferisce il link, naturalmente, non esiste.

Sulla scia di BubbleBoy troviamo il worm WScript.KakWorm.
Con BubbleBoy ha parecchio in comune: è scritto in Visual Basic, usa le varie versioni di MS Outlook per diffondersi su Internet ma invece di nascondersi nel corpo del messaggio come gli altri worms, si nasconde nella signature (firma) dell’utente. Quando Outlook Express crea un nuovo messaggio, aggiunge automaticamente la firma infetta. Come risultato, il codice del virus è apposto nel messaggio e così tutti i messaggi mandati sono infetti. Quando il messaggio infetto viene aperto, il worm si attiva automaticamente e infetta il PC del destinatario.
Da annotare che questo worm non funziona se Windows è installato in directory differenti da “C:WINDOWS”.
Inoltre se non sono installati od utilizzati Outlook Express e Internet Explorer 5.0, il virus non è capace di infettare il PC.
Ultima nota caratteristica, il primo di ogni mese alle 5:00pm visualizza, al riavvio di Windows, il seguente messaggio:” Kagou-Anti-Kro$oft says not today !”.

Un altro dei worm più diffusi è il “PrettyPark”, anche conosciuto come “Trojan.PSW.CHV”. Pretty Park, oltre all’invio di e-mail infette, è in grado di inviare di nascosto le password di sistema attraverso una backdoor che crea nel sistema. Sebbene si sia diffuso in Europa nel Giungo del 1999, è stata rilevata una vera e proprie epidemia nel mese scorso.
PrettyPark si propaga su Internet attaccandosi al corpo delle e-mail con il nome “Pretty Park.Exe”. Il file ha un’icona che mostra un personaggio del famoso cartone animato chiamato South Park.
Oltre all’invio di mail infette, questo worm avvisa qualcuno (si presume l’autore) di uno specifico IRC server sui settaggi e sulle password del sistema appena infettato.
PrettyPark, utilizzato come backdoor, consente di accedere a tutte le informazioni del PC come la lista delle periferiche, password di accesso ad Internet con relativi numeri di telefono, parametri di ICQ, ecc.
E’ inoltre possibile, per chi ne controlla la backdoor, creare, rimuovere e ricevere file e cartelle.


I virus come Melissa e BubbleBoy funzionano solo con Outlook e Outlook Express, da cosa dipende tutto ciò? La risposta, va ricercata in due particolari controlli delle Active X chiamati scriptlet.typelib e Eyedog. Entrambi questi controlli, sono incorrettamente marcati come “safe for scripting”. Il termine “safe for scripting” significa che il controllo non è capace di compiere alcuna azione pericolosa sul computer dell’utente e quindi può essere eseguito senza richiedere l’autorizzazione all’utente. Questo termine è stato inappropriatamente usato su questi due controlli che possono eseguire le seguenti azioni:

– scriptlet.typelib potrebbe permettere ad una pagina Web di cambiare o di cancellare i file della macchina dell’utente;
– Eyedog potrebbe invece consentire ad una pagina Web di ottenere informazioni dal PC dell’utente come i settaggi
del registro, user name, settaggi hardware e le password per accedere ad Internet.

Il controllo Eyedog ha un’altra vulnerabilità: uno dei suoi metodi contiene un buffer non verificato che può essere sfruttato da una pagina Web come buffer tradizionale per eseguire del codice sulla macchina dell’utente.

Qualcuno potrebbe chiedersi come mai tali controlli siano stati marcati come “safe for scripting”, e la risposta sta nel loro utilizzo originario:

– scriptlet.typelib è stato usato dagli sviluppatori per generare le Type Libraries per i Windows Script Components (WSCs). La Type Library è stata usata da tool di sviluppo come Microsoft Visual InterDev per fornire funzioni IntelliSense come lo Statement Completion e il Tool-tip help;
– Eyedog è stato progettato per essere utilizzato dai pacchetti diagnostici per collezionare informazioni di tipo hardware sulla macchina sulla quale sono eseguiti.

Per porre rimedio a questo buco nella sicurezza, la Microsoft ha rilasciato una patch che adotta due approcci differenti per risolvere questa vulnerabilità:

– per scriptlet.typelib, la patch revoca l’etichetta di “safe for scripting”. Tale controllo potrà così essere ancora usato da IE ma solo se l’utente sarà d’accordo;
– per Eyedog, la patch setta il cosiddetto “Kill Bit”, il quale ne impedisce l’uso con IE sotto qualsiasi circostanza.

La patch tratta i due controlli in maniera differente, perché lo
scriptlet.typelib opera in modo corretto, ma non è corretto che sia eseguito senza il warning; Eyedog, a causa del buffer non verificato, non è insicuro per essere eseguito da IE 5 rendendo pertanto obbligatoria la sua disabilitazione (la versione di IE 5.01 dovrebbe contenerne una nuova versione senza tale bug)


“L’unica strada per combattere i nuovi metodi di infezione è di avere una efficace e specializzata protezione permanente del software di comunicazione installato nel computer” ha dichiarato Inaki Urzay, direttore della Divisione tecnica di Panda Software.

Come VBS/Bubbleboy e Wscript.KakWorm.A hanno dimostrato, non è necessario aprire un file allegato ad un messaggio per rimanere infettati. Al contrario, l’infezione può prendere corpo solo aprendo il messaggio, in qualche caso anche attraverso l’anteprima.
In pratica, una e-mail può contenere una, due, o pure tre corpi di messaggio che potrebbero essere in formati di puro testo (ASCII), RTF o HTML, e quest’ultimo è il più pericoloso riguardo il rischio d’infezione. “Il messaggio in formato HTML, “sottolinea Urzay” presenta lo stesso rischio di infezione che le pagine Web, con in più la differenza che può essere ricevuto anche senza una richiesta”.

Vediamo adesso quali sono le soluzioni contro questo tipo di virus, offerte dai principali produttori di antivirus:

Su AVP , basta attivare le opzioni opportune (cioè’ quelle relative alla posta elettronica) in AVP Monitor: quando si tenta di accedere un allegato infetto AVP Monitor entra in azione e impedisce che il virus venga eseguito.

La Datafellows , rappresentata qui in Italia da Symbolic , offre due soluzioni per questo tipo di virus:
– F-Secure Anti-Virus for Firewall, controlla la presenza di codice maligno nel traffico di Internet (FTP, HTTP, and SMTP) prima che entri nella rete interna;
– F-Secure Anti-Virus for Microsoft Exchange controlla tutti i messaggi che passano attraverso l’Exchange server.

Norton Antivirus 2000 di Symantec , quando viene attivata la ricezione dei messaggi di posta, si interpone tra il pop server e il client di posta dell’utente, controllando la presenza di eventuali file infetti.

Panda Antivirus controlla il corpo del messaggio per cercare file in formato UUEncode, che è il modo in cui i file vengono normalmente codificati nel sistema di posta elettronica: come i protocolli dei server (SMTP), questo formato non supporta caratteri di 8-bit. Da ora con la nuova protezione sviluppata da Panda, ogni volta che una e-mail arriva e lo “Scan message body” è abilitato, Global virus Insurance 24h-365d controllerà automaticamente il corpo del messaggio.

Trend Micro offre due soluzioni:

– ScanMail, per il mercato business, scandisce i messaggi e-mail sui server di Lotus Notes, Microsoft Exchange, Lotus cc:Mail e OpenMail di HP.
– PC-Cillin, per il mercato consumer, controlla la presenza di virus ed eventuali worms nei file che si scaricano da Internet e che arrivano via e-mail.

Giovanni Fleres

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti