Il pc infetto diventa strumento per un attacco E tutto a causa di una e

101
INFORMAZIONE
INFORMATICA.
Il pc infetto diventa strumento per un attacco
E tutto a causa di una e-mail insolita
LE INSIDIE DEI WORM PIÙ RECENTI, COSTRUITI PER SFRUTTARE L’IMPREPARAZIONE DEGLI UTENTI
Tre epidemie serie in meno di due
mesi. Forse c’è da preoccuparsi, e non
soltanto per i disagi, i rallentamenti sulla rete o il tempo perso a bonificare i pc
infetti. Dietro gli ultimi worm che a rimorchio della posta elettronica hanno
complicato la vita agli utenti di Internet, si indovina una strategia, una progressiva messa a punto di strumenti sofisticati che non sono più il passatempo di
uno studente annoiato o la bravata di un
teppista da due soldi. Il worm che coordina migliaia di computer sparsi fra cinque continenti per lanciare attacchi contro alcuni siti-simbolo sembra la prova
generale per altre operazioni più serie,
magari meno appariscenti ma anche
meno effimere.
Negli ultimi casi, più a che specifiche vulnerabilità di Windows i creatori dei worm hanno puntato direttamente alle vulnerabilità dell’utente ignaro:
scarse conoscenze, curiosità malsana,
magari un pizzico di coscienza sporca.
Chi proprio non mastica l’inglese probabilmente si è salvato, ma tanti che si
sono trovati fra la posta un messaggio
minaccioso firmato FBI che li accusava di aver scaricato illegalmente musica, filmati e software dalla rete, evidentemente si sono fatti prendere dal
panico e hanno cercato di aprire il misterioso allegato (infetto, ovviamente).
L’effetto delle epidemie più recenti
tuttavia è stato amplificato da una insensata configurazione dei server di posta e dei software antivirus schierati a
loro difesa. Qualche anno fa, quando i
virus si nascondevano prevalentemente
nei file .doc, il proprietario di un pc
impestato poteva spedire un documento
senza rendersi conto di diffondere l’infezione. Rilevare sui server un allegato
infetto e segnalare il problema all’ignaro mittente aveva senso, quindi. Ma da
Klez in poi, cioè da oltre un anno, i
worm oltre a spedirsi da soli falsificano
l’indirizzo del mittente, pescandone uno
a caso archiviato sul pc infetto, o addirittura inventandolo. A questo punto, far
rimbalzare il messaggio - spesso senza
neppure rimuovere l’allegato infetto verso la casella di un utente assolutamente estraneo è non solo inutile: è stupido. A parte un ulteriore aumento del
traffico, si rischia infatti che chi riceve
la segnalazione del messaggio rifiutato
cerchi di capire che cosa sia successo e
magari si infetti a sua volta, maneggiando incautamente l’allegato.
Vediamo qualche informazione
sui worm che hanno imperversato negli
ultimi mesi e sarebbe bene evitare.
Bagle.b
Ormai inattiva quando leggerete
questo articolo (era stata programmata
in modo che andasse automaticamente in pensione dopo il 25 febbraio),
la seconda versione del
worm Bagle (o Beagle) si
diffondeva come allegato di messaggi molto banali, poche parole e un
grazie, in inglese. Nonostante le piccole dimensioni, il worm conteneva
anche un piccolo server
SMTP attraverso il quale
si spediva a tutti gli indirizzi ricuperati sul pc infettato. Caratteristica pericolosa: Bagle
apriva una porta (8866) sulla macchina
compromessa, esponendola a intrusioni
e possibili usi illeciti.
Mydoom
Da dove cominciare? È il worm
utilizzato per scatenare un attacco massiccio contro i siti www.microsoft.com
e www.sco.com. Apre una serie di porte attraverso le quali un intruso può prendere il controllo del pc infetto ed eventualmente utilizzare le risorse di una rete
locale. Attraverso questa backdoor, il
pagina
30
L’AUTORE.
Massimo Mezzini è un giornalista
e oltre ad occuparsi di “Informazione”
segue il sito Internet dell’Ordine.
e-mail: [email protected]
QUI SOTTO, UNA SELEZIONE
DI MESSAGGI DI POSTA ELETTRONICA
CHE TRASPORTANO
QUATTRO DEI PIÙ RECENTI WORM:
MYDOOM (I MESSAGGI EVIDENZIATI
IN ROSSO), MIMAIL (BLU),
SOBER.C (VERDE) E NETSKY.B (VIOLA).
worm può scaricare e installare altri programmi, all'insaputa dell'utente. Le statistiche elaborate da Kaspersky Labs dicono che a gennaio 2003 Mydoom è
stato responsabile del 78% di tutte le
infezioni rilevate. Si diffonde con la
posta elettronica e attraverso la rete
Kazaa. Nello spedirsi agli indirizzi rilevati sul pc infetto, falsifica il mittente.
Il titolo del messaggio può essere un
amichevole hello o un più subdolo Mail
Delivery System o Mail Transaction
Failed, che simula la segnalazione di
problemi nell'invio di un messaggio e
È un worm piuttosto sofisticato,
che circola da prima di Natale 2003 e
si diffonde con messaggi in inglese o in
tedesco, secondo il dominio di destinazione. Il testo del messaggio è subdolo:
in qualche caso accusa l'utente di attività illegali e minaccia il sequestro del
pc, preannunciando l'arrivo di una formale denuncia nel giro di qualche giorno. Inutile dire che molti - non necessariamente sprovveduti - si fanno prendere dal panico e cercano ulteriori dettagli nell'allegato, infettando così il pc.
In altri casi il messaggio può essere
drastico e inquietante (titolo: You are
an idiot; testo, ancora in inglese: ma
perché l'hai fatto?), o allarmista (c'è un
cavallo di Troia installato sul tuo pc), o
beffardo (hai pagato tu per me, e c'è
pure la tua foto). Il worm è capace di
diffondersi anche lungo le reti peer-topeer e utilizza diverse precauzioni per
rendere più difficile l'eliminazione.
Netsky.b
Il worm si diffonde non solo via
posta elettronica ma anche sfruttando
le cartelle condivise nelle reti
Windows. Nei pc infetti si nasconde
sotto il nome services.exe e modifica il
registro per farsi attivare automaticamente all'avvio. Dopo aver rastrellato
indirizzi e-mail nei file con particolari
estensioni (pagine web, rubriche, archivi
di posta), Netsky.b si spedisce allegato
a messaggi di 30 Kb, con titoli scelti a
caso fra varie stringhe (hello, fake,
unknown, stolen, information, warning,
something for you, read it immediately)
e un testo di poche parole, minaccioso
o enigmatico: you are bad; you try to
steal; here, the cheats; why?; i found
this document about you; kill the writer
of this document!; your name is wrong.
Il file eseguibile è spesso mascherato
dietro una doppia estensione: hardcore
porn.jpg.exe, max payne 2.crack.exe,
La motivazione è difficile da capire. Perché mai Windows deve essere
impostato in modo da nascondere le estensioni dei file? Perché tutti quei
.doc, .exe, .zip, .rtf, .com, .jpg eccetera sono antiestetici? Per imitare Mac,
che per riconoscere un file non ha bisogno di appendergli un'estensione dopo
il nome? Comunque sia, qualcuno alla Microsoft un giorno ha deciso che di
default le estensioni debbano essere essere nascoste. Nome del file e basta,
per indovinare che roba sia dobbiamo fidarci dell'icona che lo identifica,
quando c'è. Peccato che questo dia una mano ai creatori di worm.
Uno dei primi a sfruttare il trucco dei nomi costruiti in modo subdolo
era stato il virus/worm Love Letter: arrivava come allegato ad un messaggio
di posta elettronica, chiamato LOVE-LETTER-FOR-YOU.TXT.vbs. L'estensione .vbs (Visual Basic Script) è abbastanza insolita da insospettire, forse, ma
chi non aveva modificato le impostazioni di Windows leggeva solo il nome
del file, cioè LOVE-LETTER-FOR-YOU.TXT e poteva aspettarsi un innocuo
documento in formato solo testo.
Succedeva nel maggio del 2000. La
lezione è servita, quasi quattro anni
dopo? No, fate partire un nuovo pc e scoprirete che non è cambiato nulla. Con
Windows XP le estensioni dei file sono
ancora nascoste. E qualcuno ringrazia:
l'ultimo nato, il worm Netsky.B, viaggia
con file che si presentano come release.rtf
- rich text, testo formattato, suggerisce
la finta estensione - ma in realtà sono
tutt'altro: release.rtf.scr, screensaver di
Windows, ovvero un piccolo programma
in grado di fare qualsiasi cosa, se lanciato da un utente ignaro.
Per rendere il pc appena un po' più sicuro, vale la pena quindi di dedicare 30 secondi a correggere questa sciagurata scelta di Microsoft. Con Windows
NT/2000/XP, lanciare Risorse del computer e sul menù Strumenti selezionare
Opzioni cartella e poi la scheda visualizzazione (vedi immagine qui sopra).
Deselezionate l'opzione “Nascondi le estensioni dei file per i tipi di file conosciuti”. Confermate la scelta con il tasto Applica e poi con OK.
In Windows 98, l'opzione si raggiunge da Risorse del computer,
Visualizza, Opzioni cartella, scheda Visualizzazione. Fatto? Una trappola (e
un alibi) in meno all'arrivo del prossimo messaggio infetto.
office_crack.exe, strippoker.exe,
winxp_crack.exe. Per qualche misteriosa ragione, il worm cerca di rimuovere
dal registro di Windows i riferimenti a
MyDoom, se presenti.
Mimail.A
Uno dei worm più tenaci: in circolazione da agosto del 2003, banale e
facilmente riconoscibile, eppure continua a fare vittime. Arriva in casella con
un messaggio sempre identico, proveniente da admin@<dominio nell'utente>, intitolato "your account" (più una
pagina
31
stringa di caratteri senza significato) che
annuncia la soppressione dell'indirizzo
di posta. L'allegato si chiama
message.zip e il worm - se attivato - si
installa nella cartella Windows come
Videodrv.exe. Mimail è capace di spedirsi grazie a un proprio server SMTP
(che verrebbe bloccato se il pc fosse
protetto da un firewall) e utilizza gli
indirizzi e-mail recuperati sul pc infetto. È programmato anche per intercettare alcune informazioni riservate e di
trasmetterle all'esterno.
MASSIMO MEZZINI
101
Sober.C
Quando Windows dà una mano al worm
INFORMAZIONE
spinge l'utente ad aprire l'allegato. In
uno dei giorni di maggior diffusione,
mercoledì 28 gennaio, secondo i ricercatori di F-Secure i messaggi distribuiti
da MyDoom hanno sfiorato il 30% del
traffico globale di posta elettronica. Altre
stime più prudenti parlano di un messaggio infetto ogni 12, ma sono sempre
cifre enormi.