Dove sono i tuoi amici?
Guarda dove sono i tuoi amici, e scopri luoghi e persone intorno a te!
Entra in Mobnotes.com!
Una nuova ondata di virus
Inserito da: Redazione, Lun, 01/03/2004 - 23:00
NetSky, MyDoom, Sober, Mofei, Bagle e rispettive varianti sono solo alcuni dei più noti e diffusi tra le centinaia di virus, worm, trojan e malware in generale che stanno intasando la Rete e creando non pochi danni in questi giorni.
Oltre all'evidente seccatura per chiunque, in caso di infezione del computer, vale la pena di evidenziare un altro aspetto negativo dei virus, soprattutto di fronte ad ondate eccezionali come quella che si sta registrando in questi giorni. I virus comportano infatti una notevole perdita di tempo per chi lavora quotidianamente in Internet: connessione rallentata a causa dell'eccessivo traffico, necessità di eseguire quotidianamente la scansione del sistema operativo, la continua ricezione di email infette o di "warning" automatici che ci avvisano che abbiamo un virus, possono farci perdere ore di lavoro, oltre che spaventarci.
Quasi tutti gli ultimi virus, infatti, inviano email dal computer infettato verso altre vittime potenziali, utilizzando non il reale mittente ma un qualsiasi indirizzo preso a caso tra i nominativi presenti in rubrica oppure all'interno di altri messaggi contenuti nella cartella Inbox. I sistemi antivirus riconoscono l'allegato infetto e spediscono al mittente simulato (che in realtà non ha alcun virus) il warning di cui sopra.
Che siano warning reali e giustificati (il messaggio proviene effettivamente da noi), reali ma ingiustificati (il sistema di amministrazione della posta ha ricevuto un virus e ha provveduto ad avvisare il mittente, che però era stato simulato dal virus) o infine un finto warning (perchè nelle ultime famiglie di virus è previsto anche l'invio di messaggi infetti con titoli quali "undeliverable" o simili), poco importa. In ogni caso, di questi tempi, è meglio procedere alla scansione del computer almeno una volta alla settimana.
Per capire ad esempio come opera Netsky.D, uno dei virus più pericolosi, leggiamo quanto riporta SalvaPC News, la newsletter del quotidiano online Punto Informatico:
_________________________________________________
COME FUNZIONA
-------------
Una volta attivato il worm, il computer rimane infettato e Netsky.D procede alla modifica del Registro di Windows per accertarsi di essere attivato ad ogni riavvio del computer. Inoltre, disabilita una serie di funzionalità di Windows legate alla sicurezza e ai sistemi antivirus e ne inserisce una nuova serie per garantirsi di poter operare indisturbato sulla macchina infetta.
Da quel momento in poi, il worm scansiona tutti i dischi del computer a caccia di file che contengano indirizzi email, indirizzi ai quali tenta di inviare un messaggio con un una copia di se stesso in allegato.
Grazie all'uso di un proprio SMTP, Netsky.D può far partire queste spedizioni indipendentemente dalle azioni intraprese dall'utente, sempre che il computer sia conneso a Internet.
LE EMAIL INFETTE
----------------
Il mittente dell'email che contiene l'allegato infetto è un mittente fasullo, preso a caso da Netsky.D tra gli indirizzi email individuati sul computer colpito. Il soggetto dell'email, il nome del file allegato e il corpo del messaggio sono tutti termini inglesi ma cambiano di volta in volta, scelti a caso da una lunga lista di possibilità contenuta nel worm. L'unico elemento fisso è
l'estensione dell'allegato, .pif.
Di interesse notare che il worm è programmato per non inviare email infette ad una lunga serie di indirizzi email che possano essere relativi ad entità come le società antivirus, le società di sicurezza informatica, Microsoft e la polizia federale americana (FBI). Un sistema evidentemente pensato per rendere più difficile il tracciamento del worm e la stima della sua reale diffusione.
COME DIFENDERSI
---------------
Le definizioni dei software antivirus precedenti al primo marzo non sono efficaci contro Netsky.D.
Vista la sua crescente diffusione in Italia è urgente aggiornare i software stessi accertandosi che l'update sia quello che comprende anche il blocco contro Netsky.D. Vi sono utenti italiani colpiti da questo worm che hanno aggiornato l'antivirus nei giorni precedenti a questa infezione e che si ritenevano al sicuro.
Se il proprio sistema venisse colpito da Netsky.D è urgente provvedere alla sua identificazione e rimozione. Vista la sua capacità di disabilitare le funzionalità antivirus è necessario provvedere alla disinfezione manuale.
Per farlo, Sophos mette a disposizione una pagina generica per la rimozione dei worm:
http://www.sophos.com/support/disinfection/worms.html
E Symantec Security offre un tool gratuito:
http://securityresponse.symantec.com / avcenter / venc / data / w32.netsky@mm.removal.tool.html
_________________________________________________
E' subito lampante, dopo la lettura di queste poche righe, quanto possa essere pericoloso un virus del genere, capace di proteggersi da eventuali antivirus (intesi sia come software sia come software-house).
A questo punto è necessario richiamare la collaborazione di tutti gli utenti di Internet affinché ciascuno possa contribuire, per quanto possibile, ad arrestare un fenomeno che si sta purtroppo espandendo a macchia d'olio.
Le regole sono sempre le stesse, poche e relativamenti semplici. Cerchiamo di riassumerle nelle righe che seguono. Sono principalmente rivolte agli utenti di Windows poichè, essendo il sistema operativo più diffuso, è il bersaglio preferito della gran parte, se non la totalità, dei virus.
1) Installare sempre gli ultimi aggiornamenti disponibili su WindowsUpdate. E' sufficiente portarsi all'indirizzo http://windowsupdate.microsoft.com per verificare l'esistenza di nuove patch di sicurezza (Critical Update), che sono sempre fornite da Microsoft, qualora disponibili, gratuitamente. Va sottolineato che questi aggiornamenti sono disponibili esclusivamente sul sito Web di Microsoft, e che non vengono mai inviati tramite email. Pertanto, se ricevete un'email da Microsoft che vi invita ad eseguire un allegato per rendere più sicuro il vostro PC, state pur certi che si tratta di un virus.
2) Verificate ad ogni collegamento l'esistenza di eventuali aggiornamenti per il vostro software antivirus, e procedete subito alla loro installazione. Già da molto tempo questi aggiornamenti vengono rilasciati una volta al giorno o addirittura più frequentemente.
3) Installate, ed eseguite ad ogni collegamento, un programma per la ricerca e la eliminazione di eventuali SpyWare presenti sul vostro PC. Questi programmi verificano tra l'altro che non siano presenti anomalie, spesso causate da virus, all'interno del vostro registro di sistema. Il più noto ed efficace, tra questi programmi, si chiama Ad-aware è può essere scaricato gratuitamente dal sito http://www.lavasoft.de/software/adaware
4) Se possibile leggete l'email tramite Web. Servizi come Tiscali, Libero, Hotmail o Yahoo permettono la consultazione sia tramite client di posta elettronica (es: Outlook Express) sia tramite Web. Se possibile optate sempre per questa seconda alternativa.
5) Prendete l'abitudine di non aprire mai gli allegati con estensione .pif, .exe, .src, .cmd. Se credete che possa trattarsi di un allegato importante (per lavoro o altro motivo) rispondete al mittente chiedendo maggiori dettagli sul file che vi è stato inviato. Se proprio decidete di aprire l'allegato, salvatelo prima sul vostro disco fisso e procedete ad una scansione manuale.
6) Come sempre vale la regola d'oro, cara anche al vostro dentista: l'informazione e la prevenzione sono la migliore cura a qualsiasi male. Non si tratta semplicemente una regola utile per evitare guai personali, ma è diventata, a causa delle migliaia di virus presenti in Rete, un dovere di qualsiasi cybernauta, tenuto a salvaguardare la propria incolumità e quella altrui. Per questo è consigliabile essere sempre aggiornati sui nuovi virus, sulle vulnerabilità che questi sfruttano e sul metodo di diffusione utilizzato. I siti dei produttori di software antivirus (ad esempio www.trendmicro.com, http://securityresponse.symantec.com/ e http://us.mcafee.com/virusInfo/default.asp ), la pagina dedicata sul nostro sito ( http://www.portel.it/news/virus.asp ) e la newsletter più sopra già accennata (Salva PC, sottoscrivibile all'indirizzo http://punto-informatico.it/salvapc/index.asp ) sono un buon inizio per rimanere sempre aggiornati.
7) Non inserite il vostro indirizzo email "in chiaro" quando postate in un Forum o in un gruppo di discussione su Usenet (NewsGroup). Utilizzate espedienti quali mioindirizzoTOGLIMI@mioprovider.it (ad esempio: filippo.levizzaniTOGLIMI@portel.it). Questo vi risparmierà la scocciatura di cancellare decine di messaggi infetti e messaggi spazzatura (spam). E' una vecchia regola ma è sempre valida, anche se purtroppo spesso si tende a scordarla.
8) Un'ultimo espediente per cercare di limitare i mali è installare Google Toolbar ( http://toolbar.google.com/intl/it/ ) e attivare l'opzione "Blocco Pop-Up". Le finestre a comparsa sono infatti spesso il mezzo preferenziale scelto da SpyWare e altri programmi potenzialmente dannosi che non vedono l'ora di annidarsi nel vostro PC tramite Web.
Se malgrado tutte le precauzioni prese il vostro software antivirus dovesse rilevare un virus a seguito di una scansione del disco fisso, ricordate che quasi mai si risolve tutto con la sola eliminazione del file infetto. Informatevi sul virus rilevato e su come questo può aver modificato il vostro registro di sistema. Spesso è necessaria una rimozione del virus tramite una serie di passaggi manuali, talvolta complessi o rischiosi per la stabilità del sistema operativo. Se avete dubbi, rivolgetevi a qualcuno più esperto di voi.
Il fenomeno virus non va sottovalutato. E' una piaga di Internet, e può provocare spiacevoli conseguenze a voi e ai vostri conoscenti. Non vanno infine dimenticati i rischi cui siete esposti anche dal punto di vista legale. Alcuni virus, infatti, inoltrano parte delle email da voi precedentemente ricevute e/o inviate, inserendo allegati infetti all'interno del messaggio creato. In questi casi la probabilità che vengano inoltrate involontariamente informazioni sensibili è molto alta. E in materia legale, si sa, l'ignoranza o l'involontarietà quasi mai rappresentano una scusante. Anche per questo è necessario adottare tutte le precauzioni necessarie.
- informazione promozionale
Oltre all'evidente seccatura per chiunque, in caso di infezione del computer, vale la pena di evidenziare un altro aspetto negativo dei virus, soprattutto di fronte ad ondate eccezionali come quella che si sta registrando in questi giorni. I virus comportano infatti una notevole perdita di tempo per chi lavora quotidianamente in Internet: connessione rallentata a causa dell'eccessivo traffico, necessità di eseguire quotidianamente la scansione del sistema operativo, la continua ricezione di email infette o di "warning" automatici che ci avvisano che abbiamo un virus, possono farci perdere ore di lavoro, oltre che spaventarci.
Quasi tutti gli ultimi virus, infatti, inviano email dal computer infettato verso altre vittime potenziali, utilizzando non il reale mittente ma un qualsiasi indirizzo preso a caso tra i nominativi presenti in rubrica oppure all'interno di altri messaggi contenuti nella cartella Inbox. I sistemi antivirus riconoscono l'allegato infetto e spediscono al mittente simulato (che in realtà non ha alcun virus) il warning di cui sopra.
Che siano warning reali e giustificati (il messaggio proviene effettivamente da noi), reali ma ingiustificati (il sistema di amministrazione della posta ha ricevuto un virus e ha provveduto ad avvisare il mittente, che però era stato simulato dal virus) o infine un finto warning (perchè nelle ultime famiglie di virus è previsto anche l'invio di messaggi infetti con titoli quali "undeliverable" o simili), poco importa. In ogni caso, di questi tempi, è meglio procedere alla scansione del computer almeno una volta alla settimana.
Per capire ad esempio come opera Netsky.D, uno dei virus più pericolosi, leggiamo quanto riporta SalvaPC News, la newsletter del quotidiano online Punto Informatico:
_________________________________________________
COME FUNZIONA
-------------
Una volta attivato il worm, il computer rimane infettato e Netsky.D procede alla modifica del Registro di Windows per accertarsi di essere attivato ad ogni riavvio del computer. Inoltre, disabilita una serie di funzionalità di Windows legate alla sicurezza e ai sistemi antivirus e ne inserisce una nuova serie per garantirsi di poter operare indisturbato sulla macchina infetta.
Da quel momento in poi, il worm scansiona tutti i dischi del computer a caccia di file che contengano indirizzi email, indirizzi ai quali tenta di inviare un messaggio con un una copia di se stesso in allegato.
Grazie all'uso di un proprio SMTP, Netsky.D può far partire queste spedizioni indipendentemente dalle azioni intraprese dall'utente, sempre che il computer sia conneso a Internet.
LE EMAIL INFETTE
----------------
Il mittente dell'email che contiene l'allegato infetto è un mittente fasullo, preso a caso da Netsky.D tra gli indirizzi email individuati sul computer colpito. Il soggetto dell'email, il nome del file allegato e il corpo del messaggio sono tutti termini inglesi ma cambiano di volta in volta, scelti a caso da una lunga lista di possibilità contenuta nel worm. L'unico elemento fisso è
l'estensione dell'allegato, .pif.
Di interesse notare che il worm è programmato per non inviare email infette ad una lunga serie di indirizzi email che possano essere relativi ad entità come le società antivirus, le società di sicurezza informatica, Microsoft e la polizia federale americana (FBI). Un sistema evidentemente pensato per rendere più difficile il tracciamento del worm e la stima della sua reale diffusione.
COME DIFENDERSI
---------------
Le definizioni dei software antivirus precedenti al primo marzo non sono efficaci contro Netsky.D.
Vista la sua crescente diffusione in Italia è urgente aggiornare i software stessi accertandosi che l'update sia quello che comprende anche il blocco contro Netsky.D. Vi sono utenti italiani colpiti da questo worm che hanno aggiornato l'antivirus nei giorni precedenti a questa infezione e che si ritenevano al sicuro.
Se il proprio sistema venisse colpito da Netsky.D è urgente provvedere alla sua identificazione e rimozione. Vista la sua capacità di disabilitare le funzionalità antivirus è necessario provvedere alla disinfezione manuale.
Per farlo, Sophos mette a disposizione una pagina generica per la rimozione dei worm:
http://www.sophos.com/support/disinfection/worms.html
E Symantec Security offre un tool gratuito:
http://securityresponse.symantec.com / avcenter / venc / data / w32.netsky@mm.removal.tool.html
_________________________________________________
E' subito lampante, dopo la lettura di queste poche righe, quanto possa essere pericoloso un virus del genere, capace di proteggersi da eventuali antivirus (intesi sia come software sia come software-house).
A questo punto è necessario richiamare la collaborazione di tutti gli utenti di Internet affinché ciascuno possa contribuire, per quanto possibile, ad arrestare un fenomeno che si sta purtroppo espandendo a macchia d'olio.
Le regole sono sempre le stesse, poche e relativamenti semplici. Cerchiamo di riassumerle nelle righe che seguono. Sono principalmente rivolte agli utenti di Windows poichè, essendo il sistema operativo più diffuso, è il bersaglio preferito della gran parte, se non la totalità, dei virus.
1) Installare sempre gli ultimi aggiornamenti disponibili su WindowsUpdate. E' sufficiente portarsi all'indirizzo http://windowsupdate.microsoft.com per verificare l'esistenza di nuove patch di sicurezza (Critical Update), che sono sempre fornite da Microsoft, qualora disponibili, gratuitamente. Va sottolineato che questi aggiornamenti sono disponibili esclusivamente sul sito Web di Microsoft, e che non vengono mai inviati tramite email. Pertanto, se ricevete un'email da Microsoft che vi invita ad eseguire un allegato per rendere più sicuro il vostro PC, state pur certi che si tratta di un virus.
2) Verificate ad ogni collegamento l'esistenza di eventuali aggiornamenti per il vostro software antivirus, e procedete subito alla loro installazione. Già da molto tempo questi aggiornamenti vengono rilasciati una volta al giorno o addirittura più frequentemente.
3) Installate, ed eseguite ad ogni collegamento, un programma per la ricerca e la eliminazione di eventuali SpyWare presenti sul vostro PC. Questi programmi verificano tra l'altro che non siano presenti anomalie, spesso causate da virus, all'interno del vostro registro di sistema. Il più noto ed efficace, tra questi programmi, si chiama Ad-aware è può essere scaricato gratuitamente dal sito http://www.lavasoft.de/software/adaware
4) Se possibile leggete l'email tramite Web. Servizi come Tiscali, Libero, Hotmail o Yahoo permettono la consultazione sia tramite client di posta elettronica (es: Outlook Express) sia tramite Web. Se possibile optate sempre per questa seconda alternativa.
5) Prendete l'abitudine di non aprire mai gli allegati con estensione .pif, .exe, .src, .cmd. Se credete che possa trattarsi di un allegato importante (per lavoro o altro motivo) rispondete al mittente chiedendo maggiori dettagli sul file che vi è stato inviato. Se proprio decidete di aprire l'allegato, salvatelo prima sul vostro disco fisso e procedete ad una scansione manuale.
6) Come sempre vale la regola d'oro, cara anche al vostro dentista: l'informazione e la prevenzione sono la migliore cura a qualsiasi male. Non si tratta semplicemente una regola utile per evitare guai personali, ma è diventata, a causa delle migliaia di virus presenti in Rete, un dovere di qualsiasi cybernauta, tenuto a salvaguardare la propria incolumità e quella altrui. Per questo è consigliabile essere sempre aggiornati sui nuovi virus, sulle vulnerabilità che questi sfruttano e sul metodo di diffusione utilizzato. I siti dei produttori di software antivirus (ad esempio www.trendmicro.com, http://securityresponse.symantec.com/ e http://us.mcafee.com/virusInfo/default.asp ), la pagina dedicata sul nostro sito ( http://www.portel.it/news/virus.asp ) e la newsletter più sopra già accennata (Salva PC, sottoscrivibile all'indirizzo http://punto-informatico.it/salvapc/index.asp ) sono un buon inizio per rimanere sempre aggiornati.
7) Non inserite il vostro indirizzo email "in chiaro" quando postate in un Forum o in un gruppo di discussione su Usenet (NewsGroup). Utilizzate espedienti quali mioindirizzoTOGLIMI@mioprovider.it (ad esempio: filippo.levizzaniTOGLIMI@portel.it). Questo vi risparmierà la scocciatura di cancellare decine di messaggi infetti e messaggi spazzatura (spam). E' una vecchia regola ma è sempre valida, anche se purtroppo spesso si tende a scordarla.
8) Un'ultimo espediente per cercare di limitare i mali è installare Google Toolbar ( http://toolbar.google.com/intl/it/ ) e attivare l'opzione "Blocco Pop-Up". Le finestre a comparsa sono infatti spesso il mezzo preferenziale scelto da SpyWare e altri programmi potenzialmente dannosi che non vedono l'ora di annidarsi nel vostro PC tramite Web.
Se malgrado tutte le precauzioni prese il vostro software antivirus dovesse rilevare un virus a seguito di una scansione del disco fisso, ricordate che quasi mai si risolve tutto con la sola eliminazione del file infetto. Informatevi sul virus rilevato e su come questo può aver modificato il vostro registro di sistema. Spesso è necessaria una rimozione del virus tramite una serie di passaggi manuali, talvolta complessi o rischiosi per la stabilità del sistema operativo. Se avete dubbi, rivolgetevi a qualcuno più esperto di voi.
Il fenomeno virus non va sottovalutato. E' una piaga di Internet, e può provocare spiacevoli conseguenze a voi e ai vostri conoscenti. Non vanno infine dimenticati i rischi cui siete esposti anche dal punto di vista legale. Alcuni virus, infatti, inoltrano parte delle email da voi precedentemente ricevute e/o inviate, inserendo allegati infetti all'interno del messaggio creato. In questi casi la probabilità che vengano inoltrate involontariamente informazioni sensibili è molto alta. E in materia legale, si sa, l'ignoranza o l'involontarietà quasi mai rappresentano una scusante. Anche per questo è necessario adottare tutte le precauzioni necessarie.
Pubblicato in Editoriale
