Cerca nel blog

2006/03/12

Il virus KamaSutra/Nyxem è ancora in giro, stavolta confezionato anche per Mac

Questo articolo vi arriva grazie alle gentili donazioni di "orlin" e "danicarrer".
L'articolo è stato aggiornato dopo la sua prima pubblicazione.

Il virus denominato familiarmente Kama Sutra ma noto formalmente con vari nomi (per esempio Nyxem, Mywife e Blackmal), quello che ha causato molto allarme ai primi di febbraio 2006, è ancora in circolazione. Stavolta sembra che circoli in una versione pensata per coinvolgere gli utenti Mac, ma in realtà praticamente inoffensiva per chi usa il sistema operativo Apple.

Da un paio di giorni, infatti, ricevo sulla mia casella Gmail vari messaggi col mittente falsificato (il mittente apparente sarei infatti io!) con titoli inglesi come Fw: Sexy o I:Photo, Fw:SeX.mpg, Funny e simili. L'apparenza è talvolta quella di un messaggio difettoso, che dovrebbe contenere delle foto ma che non viene visualizzato correttamente. Allegato al messaggio c'è un file, il cui nome termina con estensioni come BHX, MIM, UU o HQX, che se inviato all'analisi online di Kaspersky risulta essere il virus Nyxem.e, quello che ha fatto tanto danno al Comune di Milano.

Il virus ha effetto soltanto su Windows, ma queste estensioni sono tipiche dei file compressi usati in ambiente Mac, anche se sono leggibili da molti programmi di scompattamento per Windows e altri sistemi operativi. La cosa curiosa è che non mi risulta che queste estensioni venissero usate da Kama Sutra durante la sua prima ondata.

Un'altra cosa interessante è l'origine del virus: stando agli header del messaggio che trasporta l'infezione, si tratta di un utente Interbusiness italiano.

Received: from pella (host142-202.pool8263.interbusiness.it [82.63.202.142])
by mx.gmail.com with SMTP id e15si1212399qbe.2006.03.12.00.06.38;
Sun, 12 Mar 2006 00:06:47 -0800 (PST)

Questo indica che ci sono ancora computer infetti da Kama Sutra che nessuno si prende la briga di pulire, contribuendo a mantenere attivo il rischio d'infezione. Se qualcuno conosce questo "pella" o è in grado di risalire all'ubicazione dell'indirizzo IP indicato negli header, sarebbe carino avvisare l'utente del suo problema. Io ho già avvisato l'Abuse di Interbusiness, ma ho molti dubbi sulla sua efficienza (c'è però un aggiornamento a fine articolo).

Nel frattempo, a proposito di Kama Sutra e Comune di Milano, segnalo la sintesi dell'audizione redatta da Lele Rozza e Valerio Ravaglia di Attivazione.org. Spero di poterne parlare anch'io nei prossimi giorni. Dalla sintesi di Lele e Valerio, che contiene molte informazioni tanto utili quando deprimenti, cito in particolare questa frase, che andrebbe messa in cima alla lista delle cose da spiegare a chi non ha ancora capito i vantaggi di sicurezza delle soluzioni alternative a Windows:

...se in un sistema Windows la probabilità di incorrere in un virus è omologabile a quella che un bimbo milanese in età scolare prenda l’influenza a gennaio - con buona pace del pm10 - la possibilità di incappare in un virus per Linux è omologabile a quella che lo stesso bimbo prenda la lebbra o la peste bubbonica, malattie fortunatamente debellate ormai da anni.


Aggiornamento (2006/03/13)


Ho ricevuto or ora dall'Abuse di Telecom Italia questo messaggio:

Gentile Signore/a,

in relazione alla sua segnalazione, La informiamo che stiamo prendendo adeguate iniziative nei confronti del nostro abbonato che Le ha inviato posta infetta da virus.

Distinti Saluti.

Speriamo in bene. Io, intanto, continuo a ricevere e-mail infette dallo stesso indirizzo IP e probabilmente dallo stesso computer:

Received: from pella (host142-202.pool8263.interbusiness.it [82.63.202.142])
by mx.gmail.com with SMTP id e13si2570822qbe.2006.03.13.10.23.26;
Mon, 13 Mar 2006 10:23:38 -0800 (PST)

14 commenti:

Anonimo ha detto...

Secondo me la citazione sopravvaluta un po' la probabilità diprendere un virus con windows: in 10 anni che lo uso non mi è mai successo niente.

Anonimo ha detto...

..cari amici di questo nuovo mondo tecnologico, infinite le cose da valutare ma vorrei dire una indiscrezione a proposito di un comune... arrivata da una casa madre sulla sicurezza interpellata per il caso; quando in certi ambienti sono presenti un notevole parco macchine con internet e posta elettronica configurati, senza antivirus, ed ancora in w95 !! e w98 !
e so seguenti con utenti administrator e senza passw !! .. cari amici infinite le cose da valutere prima di dire è meglio questo o quello. un saluto al creatore di questo blog. l'ho appena conosciuto.

Anonimo ha detto...

?

Anonimo ha detto...

Posso confermarti che un mio conoscente mi ha subissato di email "involontarie" esattamente come quelle che descrivi tu in questo post, e che il conoscente in questione è un utente MAC (non possiede nemmeno un PC WIN). L'episodio è riconducibile alla prima ondata di infezione in quanto tutte le email mi sono pervenute alla fine di gennaio.

Anonimo ha detto...

X tcp-ip:
Forse sei uno di quei pochi utenti Windows che ha blindato a dovere il suo sistema-colabrodo e non apre qualunque allegato.
Stento a credere che la maggior parte dei win-user abbiano securizzato il proprio PC, o siano informati sulla prevenzione del proprio computer.
Evidentemente se questa grossa fetta di utonti win si fossero informati o avessero letto "l'acchiappavirus" (dopo la sua pubblicazione), i worm più rudimentali non si sarebbero duffusi alla velocità della luce come è successo, ad esempio, con Kamasutra. (con le dovute eccezioni, s'intende ;-)

Anonimo ha detto...

A onor del vero c'è da dire che per un utonto è più facile usare windows che una distro linux, se linux riuscirà a colmare qnche questo gap (e con le ultime distro come ubuntu ci sta quasi riuscendo) allora si potrà assistere ad un riequilibrio della distribuzione dei vari S.O. Io uso da anni Windows (Xp pro), è vero che è meno sicuro, è vero che bisogna smanettare un po' per renderlo sicuro e performante, ma una volta eseguite le opportune modifiche non ha nulla da invidiare agli altri S.O. Oggi ho installato una personalissima "windistro" di Xp Pro (fatta con nLite, l'ho alleggerito di molto ed eliminato il superfluo) su di un PIII 600mhz con 384mb di Ram, il pc va che è una meraviglia, ho intenzione di installarci solo programmi open source :-)

Anonimo ha detto...

"La cosa curiosa è che non mi risulta che queste estensioni venissero usate da Kama Sutra durante la sua prima ondata."
Ciao Paolo, è probabile che sia così come dici, ossia che qualcuno abbia di recente ri-compresso Nyxem in altri modi e lo abbia rimesso in circolazione. In effetti ho dato un'occhiata a un'analisi del worm sul sito di un produttore di AV ed è stata aggiornata il 2 marzo, immagino con la nuova lista di estensioni.
Io ho ricevuto l'ultimo di quei file .uu il 7 marzo. Ma in effetti ho continuato a ricevere mail infette da Nyxem per tutto febbraio, quindi direi che questo worm è tutt'altro che defunto (purtroppo è raro che un malware si estingua del tutto).

Camicius ha detto...

Uso Ubuntu Linux, quindi non analizzo tutti i file che mi arrivano, comunque mi è capitato di ricevere durante tutto il mese di febbraio molte mail con allegato HQX e BHX con dentro Kamasutra.
Anche il virus che avevo spedito a Paolo e ad alcuni utenti del blog come richiesto in un post precedente era un HQX

Anonimo ha detto...

Dopo il post di Andrea Occhi mi è venuto il dubbio e sono andato a controllare i miei log; per un bel po' di tempo non ho ricevuto mai alcun allegato .UU con Nyxem (.UUE sì), poi intorno al 23 di febbraio me ne sono arrivati diversi. Le altre estensioni le avevo già ricevute da gennaio.
Cmq appena ho un secondo di tempo mi dò un'occhiata al binario del Nyxem e vediamo se ci trovo dentro la lista completa di queste estensioni.
X quanto riguarda l'audizione presso il Comune, direi che non fornisce praticamente alcun elemento utile a valutare quanto successo e soprattutto quante possibilità ci sono che succeda ancora qualcosa del genere (scongiuri obbligatori, non è che gliela voglio tirare, anzi).

Gian Piero Biancoli ha detto...

Ho provato a cercare 82.63.202.142 con IPNetInfo. Questo è il risultato:

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Information related to '82.63.0.0 - 82.63.255.255'

inetnum: 82.63.0.0 - 82.63.255.255
netname: TELECOM-VDC-RTG
descr: Telecom Italia S.p.A. VDC-RTG
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: ************************************************
remarks: Pay attention
remarks: Any communication sent to email different
remarks: from the following will be ignored!
remarks: Any abuse reports, please send them to
remarks: abuse@retail.telecomitalia.it
remarks: ************************************************
mnt-by: TIWS-MNT
mnt-lower: TIWS-MNT
mnt-routes: TIWS-MNT
changed: thomas.tozzi@telecomitalia.it 20050705
source: RIPE

person: BBBEASYIP STAFF
address:
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE

% Information related to '82.63.192.0/18AS3269'

route: 82.63.192.0/18
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: TIWS-MNT
mnt-routes: INTERB-MNT
changed: net_ti@telecomitalia.it 20050523
source: RIPE

Non so quanto possa servire...

Tom ha detto...

Sembra che tutti o quasi sappiano tutto ma da inesperto quale sono denoto come ci siano varie varianti, io o meglio mia figlia Linda (il pc non connesso alla rete)ha contratto il virus in questione (forse) e ben prima del 3 febbraio attraverso una chiavetta o con l'aggiunta di un banco ram(improbabile)gli unici 2 contatti esterni avuti.
Mi piacerebbe trovare un link sicuro dove scaricare linus ed avere informazioni a riguardo così potrei installarlo e Lei apprezzerebbe di sicuro visto che ha solo 8 anni e di xp non ne può più.

Anonimo ha detto...

@Tom: del ceppo Nyxem esistono alcune varianti, ma quella di cui si parla maggiormente (e quella a cui ci riferiamo in questo thread) è la .E che è l'unica intenzionalmente distruttiva. E' perfettamente possibile che tu abbia visto Nyxem.E prima del 3 febbraio, perché è uscito il 20 gennaio; il 3 di ogni mese coincide con la sua attivazione distruttiva (cancella alcuni tipi di file).
Se dici che il pc di tua figlia non è connesso alla rete, direi che di certo è arrivato da quella chiavetta USB di cui parli.
Per Linux, forse la cosa più veloce è fare un salto in edicola e prendere una delle molte riviste sull'argomento che allegano delle distribuzioni su CD o DVD. La distro più gettonata in questo periodo è probabilmente Ubuntu: ma qui mi fermo xché in questo forum c'è gente molto più competente di me che ti può consigliare per il meglio.

Anonimo ha detto...

Posto la mia umilissima esperienza perchè ho come l'impressione che ogni tanto si esageri un pochino: uso da ani Linux e Windows (prima '98 e poi XP). Linux in ufficio e Xp sul portatile e a casa. Tra l'altro Linux l'avevo "adottato" perchè stufo dei continui crash di windows98. Tutti i pc sono praticamente sempre connessi ad internet. In quello a casa poi, pc di gioco e navigazione, ci smanetta tutta la famiglia, compresi due figli di 8 e 11 anni. Lascio immaginare il caos e la pulizia che ogni tanto occorre fare su quel pc. Comunque, malgrado tutto questo, non ho mai "contratto" alcunchè, nè con windows nè, tantomeno ovviamente, con Linux. Eppure mail strane, programmi di dubbia provenienza, ecc. capitano anche a noi (ovvio credo). Ovviamente sul portatile funziona un antivirus (acquistato, visto che lo uso anche per lavoro, 20€, non è una grande spesa), a casa c'è la versione gratuita. Anche gli amici con cui mi trovo la sera a giocare online (ebbene sì, lo confesso, sono rimasto un bambinone) e che ogni tanto mi sfottono per Linux e Firefox e simili, non mi risulta che abbiano mai avuto grossi problemi con virus o altro. Non è che invece del sistema operativo occorerebbe riformattare la testa di qualche utente o admin?

Ciao

Tino

Anonimo ha detto...

Ho dato uno sguardo molto veloce e ignorante al file binario di Nyxem.E e ho trovato le aree di dati che contengono i nomi dei file e le estensioni che utilizza per creare le mail con gli allegati infetti: ci sono anche quelle "Mac-style" che citavi tu, Paolo. Ero incerto su .uu e .bhx quando ho letto il tuo post, ma anche quelle sono nella lista.
Quindi direi che quello che hai ricevuto è il Nyxem.E originale e non un "repackaging". Il che forse è peggio, perché conferma che il worm continua ad andarsene in giro da gennaio e ancora qualcuno se lo prende.