SECURITY
Dilaga il virus KamaSutra
Promette emozioni osé ma regala infezioni.
Il 3 febbraio devasta il PC
News - 29-01-2006
Perché usare tecnologie informatiche sofisticate quando basta il trucco più vecchio del mondo? Il virus che è in questo momento in cima alla classifica di diffusione in Italia conferma la validità di questo approccio psicologico più che tecnico. Infatti gli basta presentarsi come allegato a un e-mail che promette la visione di immagini porno, e gli utenti lo aprono allegramente senza farsi domande. Depravati!
Sto parlando del virus (più propriamente worm) denominato dai tecnici Grew.A, W32/Nyxem-D, Email-Worm.Win32.VB.bi o Blackmal.E, noto anche con il nome leggermente più memorabile di "KamaSutra".
Il suo metodo d'infezione è estremamente banale: la vittima riceve un e-mail in inglese (e già questo dovrebbe far venire qualche dubbio, ma lasciamo perdere) intitolato "Hot Movie", "SeX.mpg", "Crazy illegal Sex!" e simili. Il testo del messaggio, sempre in inglese, invita a vedere il file allegato, presentato come "Sex Video", "Hot XXX Yahoo Groups" o "Fuc**** KamaSutra pics" (donde il nome) e compagnia bella. Alcuni testi sono meno osé, ma il concetto è sempre lo stesso: un invito ad aprire un allegato.
Aprendo l'allegato, se la vittima usa Windows viene attivato il virus, che disattiva la maggior parte degli antivirus, si diffonde anche attraverso le cartelle condivise, tenta di comunicare col proprio padrone via Internet, inietta pezzi del proprio codice in vari punti di Windows, e poi spedisce di nascosto copie di se stesso a tutti gli indirizzi che trova nei file presenti nel computer della vittima. Già che c'è, il virus modifica Windows in modo da essere eseguito automaticamente ogni volta che la vittima riavvia Windows e una volta ogni ora.
Le versioni di Windows vulnerabili sono 98, ME, NT, 2000, XP e Server 2003. Gli utenti Mac e Linux possono dormire sonni vigili ma tranquilli.
La cosa più sgradevole di questo virus "KamaSutra" è che rischia di mettervi in una posizione difficile, ma non del tipo che state pensando: infatti il terzo giorno di ogni mese, mezz'ora dopo l'avvio di Windows, cancella tutti i file con le estensioni DMP, DOC, MDB, MDE, PDF, PPS, PPT, PSD, RAR, XLS e ZIP. Al posto del contenuto dei file, trovate una falsa indicazione di "errore dati".
Il prossimo 3 febbraio, quindi, potrebbe essere una giornata molto dolorosa per gli imprevidenti che si sono fatti infettare. Rischiano di perdere, per esempio, tutti i loro documenti Word e Acrobat, le presentazioni PowerPoint e gli spreadsheet di Excel se non ne hanno una copia di scorta.
Per rimuovere il virus non potete fare affidamento sull'antivirus che avete, perché probabilmente "KamaSutra" lo ha disattivato: usate uno degli appositi programmi di rimozione, come quello scaricabile gratuitamente dal s.i.t.o dell'antivirus Nod32.it.
La raccomandazione è sempre la stessa: imparate (e fate imparare) a non aprire gli allegati, di qualsiasi genere, senza controllarli prima con un antivirus aggiornato. Non fidatevi degli allegati inattesi.
In questo caso specifico, come per altri virus recenti, il mittente del messaggio infetto può essere falsificato, per cui non scagliatevi contro chi sembra avervelo mandato: potrebbe essere del tutto innocente. Limitatevi a controllare che il vostro computer non sia infetto (se usate Windows) e invitate gli altri a fare altrettanto.
Se gestite gruppi di discussione e ve li trovate pieni di messaggi- esca del virus, segnalate il problema nel gruppo e chiedete a tutti di eseguire un controllo antivirale usando gli strumenti di rimozione sopra citati invece dell'antivirus.
I dettagli tecnici di "KamaSutra" sono disponibili in italiano presso Nod32.it e in inglese presso vari siti, come per esempio quello di Trend Micro.
Aggiornamento (2006/1/25): Secondo Fortinet, fra i possibili sintomi rilevabili di "Kama Sutra" ci sono avvisi del firewall che segnalano tentativi di uscita di Scanregw.exe, Update.exe e Winzip.exe; inoltre il computer infetto potrebbe essere insolitamente lento. "Kama Sutra" è in grado anche di danneggiare alcuni programmi di scambio P2P, come BearShare, Morpheus e Limewire.
Information Week, che cita sempre fonti Fortinet, dice che il virus/worm è in grado inoltre di alterare Windows in modo da fargli considerare autentica una firma digitale falsa dei controlli ActiveX. Questo consente a qualsiasi aggressore di iniettare nel PC violato un controllo ActiveX ostile, che Windows crederà sicuro perché firmato digitalmente. Ribadisco il consiglio già dato da un anno a questa parte: ActiveX è il male e va disabilitato. Le informazioni su come procedere sono nel mio Acchiappavirus.