La notizia sul Virus pacifista è vera (ma non finisce qui)

[Marco Trotta <matro at bbs.olografix.org>]

Salve a tutt*,

Paola Lucchesi, Mercoledì, 26 settembre 2001 ore 20:12:06 +0200
ha scritto a tutt* in "Virus "pacifista"? - manifestazioni per la pace in USA"
 >Sta girando notizia di un virus mascherato da "voto per la pace". Non ho
 >ancora avuto tempo di controllare che non sia una delle bufale frequenti,
 >comunque meglio evitare di aprire un eventuale attachment WTC.exe che
 >arrivi con un messaggio che invita a votare pro o contro la guerra. Ho gia'
 >visto in giro qualcosa tipo chain letter che puzzava di bufala da dieci
 >chilometri, sostenendo che "l'ONU sta raccogliendo firme contro la guerra":
 >incoraggiante che ci fosse gia' una lunga lista di firme da vari paesi, ma
 >anche indicativo della facilita' a imbrogliare la gente di buona
 >volonta'....

Quella era una bufala di certo, basta vedere su http://www.unicwash.org

La notizia sul virus, invece, è vera.
Però, come ho già scritto altrove, qui la notiza che spero faccia riflettere,
è un'altra: l'informazione generalista è strutturalmente disinformativa su
questo genere di argomenti. In questi giorni è anche faziosa (valga
l'esempio a futura del memoria del Resto del Carlino col titolo sugli
hacker islamici, assolutamente ignobile) per ignoranza o calcolo politico,
o entrambe come per Repubblica. Diffidate prima di questi, che degli
allegati che vi mandano.
Il resto è storia nota: vittime solo chi usa programmi microsoft e quindi
una dinamica che tra sviluppo, produzione, propaganda e contraddizione e
pienamente integrata in questo modello di globalizzazione.

M.



_[Ripostato da: Punto Informatico - http://www.punto-informatico.it ]_____
 [http://www.punto-informatico.it/p.asp?i=37408]



Attentati - l'ora del virus-sciacallo
Installa un cavallo di Troia, cancella file e ne riscrive altri. Il Worm è
realizzato in Visual Basic da uno script-kiddie in cerca di una infame
notorietà. Symantec getta acqua sul fuoco. Il codice sciacallo inganna ANSA
e Repubblica

26/09/01 - News - Roma - Symantec lo classifica soltanto a livello 2, e non
lo ritiene quindi una minaccia così grave, sebbene alcuni media,
soprattutto italiani, lo abbiano già descritto come una catastrofe
ambulante. La realtà è che il worm W32.Vote non deve preoccupare gli utenti
che abbiano un antivirus aggiornato nelle ultime ore o quelli che non
aprono file.exe di cui non conoscano l'esatta origine.

W32.Vote è il nome del worm che attacca sistemi Windows e che finge di
chiedere un voto contro la "guerra tra America e Islam" (!). È stato
realizzato in Visual Basic da uno script-kiddie in cerca di facile
notorietà, che potrebbe costargli cara se verrà individuato dalle autorità
che indagano su questa infezione.

Secondo Symantec, sono molti i media che ritengono disgustoso che qualcuno
possa servirsi delle tragedie costituite dagli attentati a New York e
Washington per trarne un vantaggio, perdipiù così futile e insensato. Eh
già, perché il worm viene diffuso in una email che lo propaganda come un
mezzo per "votare contro la guerra", cercando così di indurre gli utenti a
cliccare sull'allegato infetto che arriva insieme all'email. Una situazione
che ricorda da vicino un altro wormino che nei giorni scorsi era stato
propagandato come documento da leggere sul World Trade Center (WTC).

Nello specifico, nella lettera giunta a Punto Informatico da Symantec, si
legge che il W32.Vote.A@mm è un worm pensato per creare un invio di massa
di posta elettronica, come molti suoi predecessori, auto-spedendosi a tutti
gli indirizzi della rubrica di Windows presente sul computer infetto.

Non contento, il worm infila nel sistema anche due file.vbs e tenta di
cancellare alcune porzioni dei programmi antivirus eventualmente presenti
sul computer colpito. Tutti i file con estensione "html" o "htm" che si
trovano sul sistema infetto vengono riscritti.

Non corrisponde al vero, invece, quanto riportato dall'ANSA: l'agenzia di
stampa italiana ha infatti allarmato molti lettori di Punto Informatico che
hanno scritto alla redazione dopo aver letto che il virus cancella "tutto
il contenuto" del computer. Forse proprio il lancio ANSA ha indotto anche
Repubblica.it all'errore: il quotidiano sosteneva che il virus "cancella la
memoria della macchina". Come vedremo, invece, il worm ci prova ma non può
riuscirci.

In realtà il problema maggiore sta nel fatto che il worm tenta di scaricare
un cavallo di Troia, che Norton AntiVirus individua come "Backdoor.Trojan".
Se il trojan viene effettivamente installato sul sistema, da quel momento
il computer può essere accessibile a chi ha confezionato quel codicillo, e
dunque la sua sicurezza è compromessa.

Accorgersi che l'email che arriva è quella infetta non è difficile.
L'allegato si chiama "WTC.exe" e, trattandosi di un file.exe, dovrebbe già
da solo mettere in allarme l'utente. Ma il pericolo si riconosce anche dal
subject dell'email, "Fwd:Peace BeTweeN AmeriCa and IsLaM!", e dal testo del
messaggio:

"Hi
iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!"

Qualora l'utente cliccasse su WTC.exe e non avesse un antivirus aggiornato
nelle scorse ore, il worm si attiverebbe infilando, tra l'altro, due file
dentro Windows: "ZaCker.vbs" e "MixDaLaL.vbs".

Nel primo caso il file, richiamato da una modifica nel registro di Windows
al successivo riavvio del computer, tenta di cancellare tutti i file che si
trovano nella cartellina "Windows" del sistema. Subito dopo, il worm crea o
sovrascrive il file di sistema "autoexec.bat", dove inserisce un comando
per formattare il disco "C" al successivo reboot di Windows.

L'altro file, "MixDaLaL.vbs", è uno script che viene inserito nella
cartellina "System" di Windows e che viene eseguito direttamente dal worm.
Quando questo accade, il codice cercherà in tutto il sistema, e anche sui
computer collegati in rete, tutti i file con estensione ".htm" o ".html", e
li riscriverà inserendo questo testo:

"AmeRiCa...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>>
ZaCkEr is So Sorry For You"

Una volta riavviato il computer, il worm fa apparire il messaggio:

"I promiss We WiLL Rule The World Again... By The Way, You Are Captured By
Zacker!!!"


Dopo l'apparizione del messaggio, il worm tenta di riavviare nuovamente il
sistema per consentire l'esecuzione delle istruzioni di riformattazione di
C inserite in "autoexec.bat". Ma, poiché non è stato realizzato da un virus
writer di grande esperienza, Windows non esegue l'istruzione poiché il worm
stesso cancella il codice necessario a completare l'operazione.

Per rimuovere il worm dal computer infetto, Trend Micro suggerisce di
utilizzare regedit.exe per editare il registro di Windows e cancellare la
chiave "Norton.Thar" che viene inserita qui:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Inoltre, con qualsiasi editor di testo, come Notepad, si devono rimuovere
le istruzioni ""echo Y | format C" dal file "autoexec.bat" che si trova in
"C".
A quel punto, occorre cercare sul computer tutti i file di estensione.htm
e.html che abbiano una dimensione di 100 byte (1 KB) e cancellarli.

Una volta fatto tutto questo, occorre naturalmente scansionare il computer
con un antivirus aggiornato.

Symantec ricorda anche tutti i problemi che possono derivare al sistema
qualora il Backdoor.Trojan venga efficacemente installato dal worm. In
particolare, l'azienda sottolinea come l'autore del trojan in questo caso
possa:

- rubare o modificare le password o i file che le contengono
- installare software per connessione da remoto, cioè una "backdoor"
- infilare un sistema capace di individuare tutte le sequenze di pulsanti
premuti sulla tastiera
- riconfigurare un eventuale firewall di protezione
- sottrarre, modificare o cancellare dati personali, file e documenti riservati
- inviare, dall'account email dell'utente colpito, qualsiasi materiale
- impedire all'utente l'accesso a propri file
- cancellare ogni traccia delle sue azioni

"Se si vuole essere certi - spiega Symantec - che la propria organizzazione
sia sicura, è necessario re-installare il sistema operativo e utilizzare il
backup dei dati eseguito prima dell'avvenuta infezione. Dopodiché bisogna
cambiare tutte le password che si trovavano sul computer infetto o che da
lì risultavano accessibili".

__________________________________________________________________________