W32.Magistr, worm polimorfico in arrivo

Un comportamento diverso dal solito e la capacità di mascherarsi potrebbe indurre in inganno l'utente. Massima cautela, dunque, per un worm che Symantec classifica come rischio medio capace di inviare documenti Word ad indirizzi casuali
Un comportamento diverso dal solito e la capacità di mascherarsi potrebbe indurre in inganno l'utente. Massima cautela, dunque, per un worm che Symantec classifica come rischio medio capace di inviare documenti Word ad indirizzi casuali


Web – Arriva con uno o più allegati di posta elettronica il messaggio email che contiene il nuovo W32.Magistr.24876@mm, un worm individuato da Symantec nelle scorse ore a cui viene attribuito un livello di pericolosità medio-alto.

La diffusione del worm è piuttosto rapida sebbene non ancora decisamente allarmante e legata, come già in passato per molti altri codici di questo tipo, alla capacità di aggredire i sistemi Windows e di utilizzare la rubrica di Outlook Express. Una novità è la sua capacità di sfruttare anche l’Address Book di Netscape per individuare indirizzi presenti sul computer infetto a cui inviare un’email a sua volta infetta.

Sul piano “tecnico”, W32.Magistr colpisce tutti i file PE (Portable Executable) di Windows e non tocca le DLL. La sua dimensione è variabile ma non è inferiore ai 25 Kilobyte.

A quanto pare, il virus è capace di “contare” i computer collegati ad una rete e di cercare le cartelline di Windows che abbiano come nome “Winnt”, “Windows”, “Win95” o “Win98”. Se una di queste directory contiene il file win.ini, il virus viene copiato all’interno della cartellina e il file viene modificato con l’inserimento di una chiave (“RUN”) capace di avviare il file infetto che si trova nel sistema.

Come detto, W32.Magistr sa propagarsi via email e dispone di un proprio SMTP per l’invio delle email infette. Utilizza le rubriche di Outlook Express per “catturare” gli indirizzi a cui auto-inviarsi e sceglie, per le email con cui si propaga, un subject variabile ma con un massimo di 60 caratteri di lunghezza.

Il testo all’interno del messaggio infetto è casuale e può cambiare dunque ad ogni invio. Non contento, al messaggio infetto può allegare anche fino a cinque file di testo e documenti di Word. “File – fa notare Symantec – che possono naturalmente contenere dati e informazioni riservati”.


Se l’utente che riceve il virus ne viene colpito, W32.Magistr tenta di individuare Explorer.exe nella memoria e, se ce la fa, vi inserisce in una porzione aperta a scrittura un codice da 120 byte “prendendo possesso” della funzione TranslateMessage.

A quel punto il worm, passati tre minuti dalla sua “installazione”, verifica la presenza sul sistema di Outlook Express, Netscape Messenger o Internet Mail and News. Sfruttando il proprio SMTP si auto-invia con le caratteristiche descritte. Nel frattempo provvede ad infettare tutti i file PE, come detto.

Le possibili conseguenze del worm sono numerose e secondo Symantec ricordano da vicino il virus Kriz . In particolare, il worm potrebbe provvedere alla riscrittura di porzioni dell’hard disk, alla cancellazione del CMOS e al flashing del BIOS.

Le caratteristiche del file infetto includono anche una porzione di codice cifrato polimorfico pensato per rendere più complessa l’attività di “pulizia” degli antivirus.

I laboratori SARC di Symantec hanno comunque messo già a disposizione l’aggiornamento necessario a bloccare il virus ed eventualmente a distruggerlo se si viene colpiti.

Rimane naturalmente valido l’invito di sempre a non aprire file allegati della cui origine non si sia certi e di esercitare cautela anche dinanzi ad allegati provenienti da conoscenti ma che non erano stati preannunciati e dunque “inattesi”.

Link copiato negli appunti

Ti potrebbe interessare

14 03 2001
Link copiato negli appunti