Last Update: 01/02/2002

Dato che sempre più spesso sia nei giornali, che nelle e-mail, leggo di diabolici virus capaci di infettare il nostro amatissimo computer, ho pensato di mettere in rete ciò che so su questo argomento.
Ovviamente, non essendo espertissima, mi limito ad inserire le notizie con un pizzico di sarcasmo... dopotutto bisogna imparare a prendere le cose con filosofia, non credete?


SULFNBK: No panic! (prima di fare qualcosa di cui potreste pentirvi...)

Gira in internet un messaggio che dice che il file SULFNBK è un virus e quindi va cancellato. Prima di fare qualunque cosa leggete le informazioni che un mio amico mi ha passato:

Attenzione!!! prima di cancellare il file leggete questa mia aggiunta... (so che per alcuni sarà noiosa, ma per altri molto utile).

  1. Questo msg gira da un bel po' nel mondo di internet... e (purtroppo) girerà ancora. NON va preso estremamente sul serio (in pratica: non precipitatevi a cancellare il file).
  2. SULFNBK non è un virus (di per sé), ma una componente di Windows che viene copiata nel sistema durante l'installazione di qualche componente (non ho mai capito bene quale). Questo significa che è MOLTO PROBABILE trovare il componente all'interno di Windows (ma non è detto che sia il virus) - esempio: su 100 persone 75 possono avere quel componente.
  3. Alcuni virus possono infettare i file eseguibili (fra cui SULFNBK). Per cui può darsi che qualcuno TROVI un VIRUS legato a SULFNBK... ma si tratta di una copia infetta di SULFNBK - esempio: fra le 75 persone trovate al punto precedente, 5 possono avere SULFNBK infetto.
  4. Non ho informazioni precise, ma credo che SULFNBK non sia un componente fondamentale di Windows, quindi se qualcuno lo ha cancellato NON dovrebbe avere problemi.
Tutto questo per dire che è buona cosa stare attenti a questi messaggi, ma la soluzione ottimale è quella di avere un buon antivirus e di mantenerlo aggiornato (quando esce un nuovo virus è importante avere un aggiornamento dalla casa produttrice di antivirus). Ce ne sono tanti buoni (Norton, PC-Cillin, Panda, ...): scegliete quello che vi garantisce maggiori possibilità di aggiornamento.
Quando arrivano messaggi come questi, prima di cancellare il file fate un controllo con l'antivirus (aggiornato) e, nel caso che il file sia infetto, l'antivirus stesso cercherà di pulirlo o vi consiglierà di cancellarlo...


VIRUS, paura on line (da un articolo di Quotidianet)

Ne esistono di diversi tipi, quelli dedicati a particolari programmi, in grado di inserirsi nei computer e di autoreplicarsi, e quelli che possono essere spediti via e-mail. Esistono poi virus di file, virus multipartico (ad attacco multiplo), virus polistrutturati, virus di macro, con crittografia, cavalli di Troia, iniettori Html e moltissimi altri.
L'offensiva, inoltre, anziché fermarsi dopo l'arresto del colpevole della diffusione di «I love you», sembra aver subito un'ulteriore impennata, con l'arrivo di nuovi e più terribili virus.
Ciò che più spaventa è la notizia che i virus di prossima generazione saranno capaci, al contrario di quanto succede oggi, di contagiare il computer semplicemente nel momento stesso in cui si riceve un'e-mail infetta, senza che ci sia bisogno di aprire il messaggio.
Il laboratorio di ricerca di F-Secure Corporation, una delle più importanti realtà mondiali nella lotta contro i virus, ha recentemente individuato decine di nuovi focolai di infezione, che in moltissimi casi hanno evidenziato una grande capacità di diffusione, replicandosi automaticamente con l'invio del messaggio infetto a tutti i contatti della rubrica di posta elettronica.


W32.Magistr
Virus di tipo polimorfico e Worm che riesce ad infettare i file eseguibili .exe.
Livello di pericolosità: 3/5
Magistr, un complesso virus-worm distruttivo per sistemi Win32, e' stato rilevato verso la meta' del marzo 2001.
Il suo payload viene attivato dopo un mese esatto dall'infezione; il che significa che tra pochi giorni le prime macchine ad essere infettate dal virus potrebbero soffrirne gli effetti, ossia la cancellazione dei dati del CMOS, del Flash Bios (su sistemi Win9x e WinME) e dei dischi fissi, in modo simile a Win95 CIH, alias Chernobyl.
Magistr, apparentemente scritto in Svezia, e' un virus estremamente complesso e avanzato, scritto in Assembler e dotato di funzionalita' Worm. Proprio tale funzionalita' permette a Magistr di propagarsi su reti locali e di auto-inviarsi per posta elettronica usando allegati con estensione EXE e SCR e nome variabile, con le devastanti conseguenze che possiamo immaginare.
Si diffonde attraverso server di posta STMP, senza necessitare di client di posta come Microsoft Outlook o Netscape e raccoglie indirizzi di posta elettronica da file inviati con Address Book di Windows e da Outlook.
Si attacca fino a un massimo di 6 file a caso, a prescindere dalla tipologia di file. Per infettare gli altri uno dei documenti allegati deve, in ogni caso, includere uno dei file .exe infettati e l'utente deve aprire il documento infettato.
Genera una riga di testo nel soggetto che può contenere fino a 60 caratteri e danneggia l'ambiente di avvio, cercando di resettare il BIOS e cancellando i file. Tenta di modificare i file Win.ini su drive di rete.
Il codice di Magistr e' circa 30Kb e include numerose funzioni, tra cui le routine infettive e di diffusione via rete, due motori polimorfici e alcuni accorgimenti per rendere difficile il lavoro degli analisti.
E' da notare che il nome di questo file corrisponde a un eseguibile gia' presente sul sistema, quindi l'utente, pur notando queste modifiche, potrebbe essere portato a pensare che non c'e' nulla di anomalo.
La routine infettiva inizia poi a esaminare le directory locali e i volumi condivisi su rete, cercando di infettare gli eseguibili in formato Portable Executable con estensione EXE o SCR, che non superino i 132Kb. Uno dei segnali piu' evidenti della presenza di Magistr e' la creazione di un file DAT (nella directory di Window, oppure in \programmi o \program files, o ancora nella radice del disco C:). Il nome di questo file e' ricavato dal nome dell'host sulla rete, cifrato secondo un codice fisso: a=y, b=x, c=w ecc. I segni di interpunzione e i numeri non vengono sostituiti.


W95.MTX
Scoperto lo scorso agosto, il virus W95.MTX, MTX per gli amici, è molto più pericoloso di quanto si temeva. La sua capacità di diffusione, ritenuta in origine piuttosto limitata, si sta infatti rivelando molto pervasiva al punto che una delle più note aziende antivirus, Trend Micro, ha avvertito che nella scorsa settimana MTX è stato segnalato come il virus più diffuso sulla Rete.
Stando alle segnalazioni in arrivo in queste settimane, numerosi sono anche gli "avvistamenti" del virus in Italia.
MTX è un virus che si diffonde nel "solito modo", come attachment di posta elettronica con la capacità, se aperto, di infettare sistemi Outlook che girano su Windows.
Secondo quelli del SARC, i labs Symantec, W95.MTX ha la particolarità di essere costituito da due componenti principali: un virus e un worm. Capace di aggredire alcuni eseguibili in determinate directory dei sistemi Windows a 32 bit, il componente worm si occupa di effettuare una copia di Wsock32.dll, rinominandolo in Wsock32.mtx e modificandolo per consentire alla componente virus di inviare una copia del worm-virus a qualsiasi destinatario a cui l'utente infettato invii un messaggio di posta elettronica.
L'email che arriva all'ignaro destinatario non ha subject e contiene in attachment un file la cui vera estensione può non essere visualizzata dal client di posta elettronica dell'utente perché "nascosta" dietro estensioni fittizie e dietro uno dei tanti nomi utilizzati a caso dal virus.
Ecco l'elenco dei nomi degli attachment infetti:
  • I_wanna_see_you.txt.pif
  • Matrix_screen_saver.scr
  • Love_letter_for_you.txt.pif
  • New_playboy_screen_saver.scr
  • Bill_gates_piece.jpg.pif
  • Tiazinha.jpg.pif
  • Feiticeira_nua.jpg.pif
  • Geocities_free_sites.txt.pif
  • New_napster_site.txt.pif
  • Metallica_song.mp3.pif
  • Anti_cih.exe
  • Internet_security_forum.doc.pif
  • Alanis_screen_saver.scr
  • Reader_digest_letter.txt.pif
  • Win_$100_now.doc.pif
  • Is_linux_good_enough!.txt.pif
  • Qi_test.exe
  • Avp_updates.exe
  • Seicho_no_ie.exe
  • You_are_fat!.txt.pif
  • Free_xxx_sites.txt.pif
  • I_am_sorry.doc.pif
  • Me_nude.avi.pif
  • Sorry_about_yesterday.doc.pif
  • Protect_your_credit.html.pif
  • Jimi_hendrix.mp3.pif
  • Hanson.scr
  • F___ing_with_dogs.scr
  • Matrix_2_is_out.scr
  • Zipped_files.exe
  • Blink_182.mp3.pif
Una volta "dentro", il componente virus cerca sul sistema eventuali programmi antivirus attivi. Se li trova, il codice evita di attivarsi.
Se non li trova, invece, decomprime il componente worm, infila una copia di quest'ultimo nella directory di Windows e lo fa girare. Il nome del file "inserito" dal virus è Ie_pack.exe. Una volta che questo viene eseguito, si autorinomina in Win32.dll.
Non contento, il virus infila nel sistema anche il file Mtx_.exe. Si tratta di un software di scaricamento che si collega ad un sito specifico dove sono presenti plug-in per il virus, da scaricare e attivare sui computer vittima. Nel registro di Windows, inoltre, viene inserita una istruzione che attiva in modalità nascosta il programma di download ogni volta che il sistema viene fatto ripartire.
Prima di concludere la sua opera, la più recente versione del virus, che pare originaria della Germania, sembra si dedichi ad aprire anche la porta 1137, che da quel momento in poi può essere utilizzata come via di ingresso dall'esterno di pressoché qualsiasi codice senza che l'utente ne sia consapevole.
Per eliminare il virus, oltre allo scaricamento degli upgrade antivirus successivi al primo settembre scorso, si può procedere cercando ed eliminando qualsiasi file W95.mtx, W95.mtx.dll, W95.mtx.dr.
E togliendo dal registro la chiave HKLM\Software\Microsoft\Windows\CurrentVersion\Run as value "SystemBackup"="C:\WINDOWS\MTX_.EXE".


Navidad
Dall'università di Venezia è partito un virus che si autospedisce in automatico a tutti i nominativi presenti nella rubrica di posta elettronica allegando il file navidad.exe. Questo file (che è il virus) una volta lanciato si autospedisce e cancella tutti i file indispensabili del sistema.
L'antivirus McAfee versione 5.01 con ultimo aggiornamento riesce a trovarlo. Ricordatevi, quindi, di aggiornare spesso il vostro antivirus.
In mancanza di un antivirus aggiornato tenete in considerazione che questo virus non permette di mandare in esecuzione programmi .exe, il problema è risolvibile senza formattare la macchina. Le indicazioni per la soluzione si possono trovare nel sito della McAffe.

In poche parole il procedimento da seguire è il seguente:

  1. rinominare regedit.exe in regedit.com
  2. lanciare regedit
  3. cancellare le righe che fanno riferimento al file winsvrc.exe che si possono trovare sotto le seguenti voci (per sicurezza fate anche una ricerca del nome del file):
    - HKEY_CLASSES_ROOT\exefile\shell\open\command\
    - HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
  4. rinominare regedit.com in regedit.exe
  5. riavviare il computer
In questo modo il computer funzionerà nuovamente correttamente
ATTENZIONE: PERSONALMENTE SCONSIGLIO VIVAMENTE DI FARE QUESTE OPERAZIONI A CHI NON HA DIMESTICHEZZA CON REGEDIT.

Secondo procedimento possibile (suggerito dalla Symantec):

  1. Premere lo start di Windows , sotto programmi prendere MS-DOS Prompt.
    Il comando prompt apprairà sullo schermo che mostra la directory di windows così:
    c:\WINDOWS>
  2. Digitare : type ren REGEDIT.EXE REGEDIT.COM
  3. Premere Invio
  4. Digitare : REGEDIT
  5. Premere : invio
  6. Modificare il seguente valore di registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
    e cambiare
    "c:\WINDOWS\SYSTEM\winsvrc.vxd" "%1"%*
    in
    "%1"%*
    Per chiarire i caratteri sopra descritti sono : Virgolette, percento, uno, virgolette, spazio, percento e asterisco. Non dimenticare lo spazio.
  7. Cancella la chiave di registro:
    HKEY_USERS\DEFAULT\Software\Navidad
  8. Riavvia il computer
  9. Poi usa esplora risorse di windows e cancella sotto la directory Windows\System\winsvrc.vxd file
Attenzione per chi non ha dimestichezza nel comprendere il linguaggio delle directory o del DOS.


NewLove
Dopo I Love You e LoveLetter (nonché i loro "simpatici" amichetti!) è ora l'epoca di NewLove (d'ora in poi NL).
Analogo a LoveLetter NL arriva come allegato ad un messaggio di posta elettronica. Se l'allegato viene aperto il virus cancella interi file dell'hard disk e spedisce messaggi infetti a tutti i nominativi della rubrica dell'Outlook. Ma oltre a far questo NL blocca il PC!!!
Come riconoscere il virus?
Come proteggersi?


Love letters
Non aprite assolutamente e-mail intitolate "I love you"... non crediate che sia qualcuno che vuole esprimervi il suo affetto nei vostri confronti! In realtà dietro questo romantico messaggio (ed altri simili) si nasconde un antipaticissimo virus.
Il virus ha avuto origine da Manila, Filippine (si dice che sia partito per errore da un PC in cui veniva sviluppato), e dal 4 maggio 2000 ha già infettato centinaia di migliaia di computer.
Il virus, che parte se si apre l'allegato Love-letter-for-you.txt.vbs, sostituisce col proprio codice i file con le seguenti estensioni: *.vba, *.vbe, *.jss, *.jse, *.css, *.wsh, *.sct, *.hta, *.jpg, *.jpeg, *.wav, *.txt, *.gif, *.doc, *.htm, *.html, *.xls, *.ini, *.bat, *.com, *.mp3 e *.mp2.
Se lo si riceve, per evitare l'infezione è sufficiente NON ESEGUIRE O APRIRE L'ALLEGATO e cancellare subito l'e-mail!!!
Se però l'avete aperto, ecco cosa succede:
  1. Viene mandata automaticamente una mail a tutti i propri contatti della rubrica con in allegato una copia del virus
  2. Viene settata come HomePage di Internet Explorer, un file eseguibile che verrà scaricato (o lanciato) non appena si apre Internet Ex.
  3. Vengono cancellati o rinominati tutti i files con estensione .mp3 .mp2 .jpg .jpeg
  4. Quelli rinominati vengono rinominati in xxxx.vecchiaestensione.vbs
  5. Vengono aggiunti un paio di files nel registro in modo che, sia l'eseguibile scaricato, sia il vbs vengono lanciati all'avvio.
  6. Se usate programmi di chat tipo MIRC, il virus viene spedito anche agli utenti con cui chattate.
Ecco due soluzioni:
 La prima, più semplice:
  1. Chiudere il programma di posta elettronica
  2. Premete CTRL ALT CANC
  3. Terminare l'esecuzione di WSCRIPT
  4. Eseguire "trova file" dal menu avvio (o start) e ricercare tutti i file .VBS (digitare il comando *.VBS)
  5. Dovreste trovare tre script .VBS: Win32DLL.VBS, MSKernel32.VBS e LOVE-LETTER-FOR-YOU.txt.vbs ; cancellate questi files
  6. Fate ripartire il PC in modalità prompt di MS-DOS
  7. eseguite SCANREG /RESTORE; vi verrà evidenziata una lista di copie del registro di configurazioen di sistema
  8. Scegliete una copia del registro ANTECEDENTE la data in cui il virus ha infettato il PC quindi scegliete RESTORE
  9. Il pc ricarica il registro di configurazione e si riavvia. L'operatività torna normale.
Secondo sistema, un po' più complesso:
  1. Eliminare il file MSKernel32.vbs nella directory Windows
  2. Eliminare il file Win32DLL.vbs nella directory Windows/system
  3. Eliminare il file LOVE-LETTER-FOR-YOU.TXT.VBS nella directory Windows/system
  4. Eliminare tutti i files contenenti la frase "<i hate go to school>" (virgolette escluse) di dimensione pari a 11 Kb
  5. Eliminare il file LOVE-LETTER-FOR-YOU.HTM
  6. Eliminare dal registro le entry in HKLM\Software\Microsoft\Windows\Current Version\Run le entry con estensione .vbs
  7. Eliminare dal registry le entry in HKLM\Software\Microsoft\Windows\Current Version\RunServices le entry con estensione .vbs
  8. Eliminare dal registry l'entry in HKLM\Software\Microsoft\Windows\Current Version\Run\WIN-BUGSFIX

Attenzione! Il virus non passa solo con la posta elettronica, ma anche con mIRC.


i virus dell'SMS (Timofonica & SMS Flooder)
I virus informatici sono arrivati anche sul telefonino (non solo su quelli dotati di navigatore WAP, ma proprio TUTTI i cellulari GSM)
Il primo caso concreto di virus ai cellulari si è verificato in Giappione, a Tokyo, a metà agosto.
Durante un gioco a premio organizzato da un sito internet a cui si partecipava col telefonino, i cellulari degli utenti hanno effettuato automaticamente una telefonata alla Polizia Locale.
E' stata poi la volta della Spagna dove degli hacker hanno deciso di protestare verso le tariffe del gestore iberico ritenute monopoliste intasando centinaia di telefonini con un messaggio sms, che ha raggiunto gli utenti via internet tramite pc collegati in rete. Si tratta del bug TIMOFONICA (timofonica.txt.vbs nella versione e-mail). Di recente poi è stato scoperto un nuovo software (un piccolo programma scritto in Visual Basic e denominato SMS Flooder) in grado di inondare una rete cellulare di messaggi sms, ma questa volta senza dover usare come ponte i PC tradizionali.
Questo software si interfaccia ai siti Web che consentono l'invio gratuito di SMS e lanciano migliaia di messaggi verso lo stesso utente, contemporaneamente. Sembra che, in questo modo, il cellulare diventi inutilizzabile. Se tale attività fosse estesa a più utenti si potrebbero generare disservizi anche sulla Rete GSM. Il programma e' stato realizzato in Germania e ci si augura che non oltrepassi i confini!.
Anche se gli operatori telefonici italiani (così come i produttori di cellulari) escludono il rischio di intrusioni non autorizzate nelle loro reti, c'è chi ha ipotizzato un possibile blocco di rete dovuto a un malsano moltiplicarsi di SMS!!!
Certo è che gli esperti stanno già studiando prodotti antivirus e i nuovi modelli dovrebbero avere più sofisticati sistemi di protezione.


I cavalli di Troia
Ce ne sono molti, ognuno con funzioni differenti. Si possono riassumere le diverse caratteristiche (a grandi linee) in tre gruppi:
  1. Un programma non autorizzato nascosto all'interno di uno autorizzato che esegue operazioni all'insaputa dell'utente.
  2. Un programma "regolare" modificato per eseguire operazioni non volute dall'utente.
  3. Un programma che sembra eseguire determinate funzioni, ma che in realtà ne esegue anche altre.
Il mezzo più comune con cui vengono diffusi questi programmi è in allegato con la posta elettronica o tramite chat. Le chat (irc o icq) sono il paradiso di chi utilizza un trojan, gli approci sono infiniti e in un modo o nell'altro vi si spedisce un file.
Come fare per capire se siamo stati infettati?
  1. Con un antivirus aggiornatissimo.
  2. Controllando il registro di windows. Un trojan, infatti, si auto-carica all'avvio di windows tramite una cartella che contiene i collegamenti a tutti i programmi che vengono eseguiti in automatico all'avvio. Eccola:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
    (* sta per tutte le key che iniziano con "run").
    Bisognerà quindi verificare se c'è qualche programma di cui ignoriamo la funzione che viene caricato e rimuovere tale chiave (ed eventualmente il programma).
    NOTA: i nuovi trojan tendono a nascondersi nella cartella di windows e ad assumere nomi credibili in modo che sia difficile capire se si tratta di files di sistema o no.
  3. Controllare in WIN.INI i programmi che vengono caricati all'avvio. E anche nella cartella "Esecuzione Automatica".
  4. Scannerizzando le porte, per vedere quelle che abbiamo aperte sul nostro pc che potrebbero essere dovute alla penetrazione da parte di un trojan appunto.
- Attenzione: questo articolo è solo basilare, informatevi meglio prima di cancellare file a caso!!! -


Avvertimenti generali
Ecco i 15 consigli di "Quotidianet" per salvaguardarsi dai virus:
  1. Aggiornare il più spesso possibile il proprio programma antivirus;
  2. Se si usano programmi come Outlook o Outlook Express, sarebbe meglio scaricare e installare le patch di sicurezza più aggiornate messe a disposizione da Microsoft;
  3. Compiere backup regolari, in modo da tenere una o più copie dei documenti più importanti su un altro disco;
  4. Non aprire mai gli allegati nei messaggi di posta elettronica;
  5. Non aprire mai file con estensione di tipo .VBS, .SHS, .PIF;
  6. Non aprire mai file che abbiano doppia estensione del tipo: Xxx.BMO.EXE, Xxx.TXT.VBS;
  7. Non lasciare mai nessun dischetto nel lettore (CD o floppy). Alcuni virus si diffondono a PC spento;
  8. Non accettare mai allegati da persone sconosciute durante un collegamento in una chat;
  9. Non aprire mai gli allegati dei messaggi di posta elettronica con un subject pubblicitario;
  10. Non aprire mai file con nomi evidentemente allettanti come Sex.EXE, Porno.VBS, ecc.;
  11. Non condividere, se non strettamente necessario, le proprie cartelle di lavoro con altri utenti;
  12. Verificare ogni nuovo software o dischetto (anche quelli preformattati e appena comprati), anche se proveniente da una ditta commerciale;
  13. Prestate attenzione a nuovi comportamenti del PC: messaggi di errore non usuali, memoria che decresce, luce d'attività disco che sta accesa un po' troppo, lentezza eccessiva;
  14. Staccare sempre il modem quando non si utilizza il PC, anche se il computer è spento;
  15. Non scaricare mai file da servizi come newsgroup o mailing list, a meno che non provengano da persone di fiducia.
Non mi resta che aggiungere alcune cosette: Non mi resta altro da fare che augurarvi un grossissimo in bocca al lupo e mi raccomando occhio!!!