skip to main | skip to sidebar
8 commenti

Dilaga il virus “Kama Sutra”: promette emozioni porno ma regala infezioni

Questo articolo vi arriva grazie alle gentili donazioni di "fabrizioproc****", "mic.cipi" e "mtomas".
L'articolo è stato aggiornato e modificato rispetto alla sua pubblicazione iniziale. Questo può rendere apparentemente incoerenti alcuni dei commenti dei lettori, fatti prima delle modifiche.

Perché usare tecnologie informatiche sofisticate quando basta il trucco più vecchio del mondo? Il virus che è in questo momento in cima alla classifica di diffusione in Italia conferma la validità di questo approccio psicologico più che tecnico. Infatti gli basta presentarsi come allegato a un e-mail che promette la visione di immagini porno, e gli utenti lo aprono allegramente senza farsi domande. Depravati!

Sto parlando del virus (più propriamente worm) denominato dai tecnici Grew.A, W32/Nyxem-D, Email-Worm.Win32.VB.bi o Blackmal.E, e noto anche con il nome leggermente più memorabile di "Kama Sutra" (hmmmm... sono curioso di vedere come reagisce Adsense).

Il suo metodo d'infezione, come dicevo, è estremamente banale: la vittima riceve un e-mail in inglese (e già questo dovrebbe far venire qualche dubbio, ma lasciamo perdere) intitolato "Hot Movie", "SeX.mpg", "Crazy illegal Sex!" e simili. Il testo del messaggio, sempre in inglese, invita a vedere il file allegato, presentato come "Sex Video", "Hot XXX Yahoo Groups" o "Fuc**** Kama Sutra pics" (donde il nome) e compagnia bella. Alcuni testi sono meno osé, ma il concetto è sempre lo stesso: un invito ad aprire un allegato.

Aprendo l'allegato, se la vittima usa Windows viene attivato il virus, che disattiva la maggior parte degli antivirus, si diffonde anche attraverso le cartelle condivise, tenta di comunicare col proprio padrone via Internet, inietta pezzi del proprio codice in vari punti di Windows, e poi spedisce di nascosto copie di se stesso a tutti gli indirizzi che trova nei file presenti nel computer della vittima. Già che c'è, il virus modifica Windows in modo da essere eseguito automaticamente ogni volta che la vittima riavvia Windows e una volta ogni ora.

Le versioni di Windows vulnerabili sono 98, ME, NT, 2000, XP e Server 2003. Gli utenti Mac e Linux possono dormire sonni vigili ma tranquilli.

La cosa più sgradevole di questo virus "Kama Sutra" è che rischia di mettervi in una posizione difficile, ma non del tipo che state pensando: infatti il terzo giorno di ogni mese, mezz'ora dopo l'avvio di Windows, cancella tutti i file con le estensioni DMP, DOC, MDB, MDE, PDF, PPS, PPT, PSD, RAR, XLS e ZIP. Al posto del contenuto dei file, trovate una falsa indicazione di "errore dati".

Il prossimo 3 febbraio (2006), quindi, potrebbe essere una giornata molto dolorosa per gli imprevidenti che si sono fatti infettare; e lo sarà ogni terzo giorno di ogni mese. Rischiano di perdere, per esempio, tutti i loro documenti Word e Acrobat, le presentazioni PowerPoint e gli spreadsheet di Excel se non ne hanno una copia di scorta.

Per rimuovere il virus non potete fare affidamento sull'antivirus che avete, perché probabilmente "Kama Sutra" lo ha disattivato: usate uno degli appositi programmi di rimozione, come quello scaricabile gratuitamente dal sito dell'antivirus Nod32.it.

La raccomandazione è sempre la stessa: imparate (e fate imparare) a non aprire gli allegati, di qualsiasi genere, senza controllarli prima con un antivirus aggiornato. Non fidatevi degli allegati inattesi.

In questo caso specifico, come per altri virus recenti, il mittente del messaggio infetto può essere falsificato, per cui non scagliatevi contro chi sembra avervelo mandato: potrebbe essere del tutto innocente. Limitatevi a controllare che il vostro computer non sia infetto (se usate Windows) e invitate gli altri a fare altrettanto.

Se gestite gruppi di discussione e ve li trovate pieni di messaggi-esca del virus, segnalate il problema nel gruppo e chiedete a tutti di eseguire un controllo antivirale usando gli strumenti di rimozione sopra citati invece dell'antivirus.

I dettagli tecnici di "Kama Sutra" sono disponibili in italiano presso Nod32.it e in inglese presso vari siti, come per esempio quello di Trend Micro.


Aggiornamento (2006/01/25). Secondo Fortinet, fra i possibili sintomi rilevabili di "Kama Sutra" ci sono avvisi del firewall che segnalano tentativi di uscita di Scanregw.exe, Update.exe e Winzip.exe; inoltre il computer infetto potrebbe essere insolitamente lento. "Kama Sutra" è in grado anche di danneggiare alcuni programmi di scambio P2P, come BearShare, Morpheus e Limewire. Information Week, che cita sempre fonti Fortinet, dice che il virus/worm è in grado inoltre di alterare Windows in modo da fargli considerare autentica una firma digitale falsa dei controlli ActiveX. Questo consente a qualsiasi aggressore di iniettare nel PC violato un controllo ActiveX ostile, che Windows crederà sicuro perché firmato digitalmente. Ribadisco il consiglio già dato da un anno a questa parte: ActiveX è il male e va disabilitato. Le informazioni su come procedere sono nel mio Acchiappavirus.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (8)
Ciao,
volevo solo far notare una cosetta a Paolo.
Leggendo questo articolo, quando mi è arrivato con la newsletter, non sapevo se crederci perchè l'articolo non conteneva neanche una data precisa.
Nella newsletter è contenuto anche l'articolo che parla di "_Antibufala: Yahoo traccia gli utenti!_" dove c'è in bella vista una chiara e precisa data (che però ho visto dopo).
Ma nell'articolo del virus si parla solo di "3 febbraio" e di "virus che è in questo momento in
cima alla classifica".
Perciò dalle date dubbie e dalle parole catastrofiche stavo quasi pensando che fosse una burla di paolo.
Poi sono andata sul blog e sui link citati nell'articolo e ho capito che in effetti è tutto vero.
Ora volevo solo avvisare paolo di essere più chiaro negli articoli e di non rischiare di essere preso per una bufala.
Se io prendessi l'articolo così com'è e lo copiassi da un'altra parte (io non lo farei ma magari altri si) non avrebbe neanche una data di riferimento.
Ciao e grazie
Sabrina
Hai ragione: infatti normalmente indico sempre la data completa di anno. Tuttavia in questo caso il 3 febbraio prossimo è soltanto la prima delle date nelle quali agisce il worm, per cui sarebbe stata una precisazione forse ingannevole. O forse avrei dovuto formulare diversamente il titolo.

Ma proprio per evitare dubbi di questo genere, la mia newsletter e il blog contengono sempre rimandi ai siti dei produttori di antivirus, per cui chiunque può andare a controllare che non si tratta di una burla.

Sarò comunque più cauto e chiaro in futuro. Ho corretto la versione blog dell'articolo.

Grazie e ciao da Paolo.
Mhh... AdSense sembra aver reagito bene: quando ho visitato io la pagina due annunci su due riguardavano antivirus.

Niente annunci "piccanti"... peccato! ;-)

Probabilmente è stato aiutato dallla gran quantità di nomi "tecnici" del virus presenti nell'articolo.

Ciao
"Fry Simpson"
Scusa Paolo, ma in questo momento, andando nella chiave di registro che indichi nell'articolo e cercando la chiave Scanreg ecc.ecc. possiamo noi vedere se siamo già infetti oppure dobbiamo aspettare la catastrofe per saperlo?? Io vorrei sapere: adesso che cosa posso fare per sapere se sono infettato visto che il PC lo usiamo in tanti, sono in una ricevitoria e il PC lo usiamo in tre.
Saluti
Luigi
A me è già arrivato, altro che 3 febbraio e 3 febbraio...molto divertente devo dire lo scherzetto, peccato che con me non attacca, ho linux...:D
Un paio di risposte al volo:

andando nella chiave di registro che indichi nell'articolo e cercando la chiave Scanreg ecc.ecc. possiamo noi vedere se siamo già infetti oppure dobbiamo aspettare la catastrofe per saperlo??

In teoria sì, ma non occorre penetrare nel Registro: se lanci uno degli strumenti di rimozione, dovrebbe darti una diagnosi.


A me è già arrivato, altro che 3 febbraio e 3 febbraio

Certo: infatti il virus è già in circolazione ed in esecuzione; il 3 febbraio scatta la funzione aggiuntiva di cancellazione/sostituzione dei file sul PC della vittima.
Qualcosa non quadra... come mai se clicco il link allo strumento di rimozione NOD32 Internet Explorer non apre alcun avviso e lo esegue tranquillamente? Di norma se clicco un link del genere come minimo mi viene chiesto se sono sicuro di volerlo eseguire o solo salvarlo su disco!!
Max Adami
ho un problema con due pc
s.o. W.XP Prof- AV Norton;
sono lentissimi
dal task manager rilevo che
le prestazioni della Cpu sono al 100%(strano di solito è il 2-5%)
Ho provato ad eseguire scansioni con Nod,Panda,e Norton ma niente
can AdAware solo un paio di Spyware.
Dal sito di Nod32 ho scaricato un cleaner e lho lanciato
per qualche ora sono riuscito
a lavorare