2006/03/12

Il virus KamaSutra/Nyxem è ancora in giro, stavolta confezionato anche per Mac

Questo articolo vi arriva grazie alle gentili donazioni di "orlin" e "danicarrer".
L'articolo è stato aggiornato dopo la sua prima pubblicazione.

Il virus denominato familiarmente Kama Sutra ma noto formalmente con vari nomi (per esempio Nyxem, Mywife e Blackmal), quello che ha causato molto allarme ai primi di febbraio 2006, è ancora in circolazione. Stavolta sembra che circoli in una versione pensata per coinvolgere gli utenti Mac, ma in realtà praticamente inoffensiva per chi usa il sistema operativo Apple.

Da un paio di giorni, infatti, ricevo sulla mia casella Gmail vari messaggi col mittente falsificato (il mittente apparente sarei infatti io!) con titoli inglesi come Fw: Sexy o I:Photo, Fw:SeX.mpg, Funny e simili. L'apparenza è talvolta quella di un messaggio difettoso, che dovrebbe contenere delle foto ma che non viene visualizzato correttamente. Allegato al messaggio c'è un file, il cui nome termina con estensioni come BHX, MIM, UU o HQX, che se inviato all'analisi online di Kaspersky risulta essere il virus Nyxem.e, quello che ha fatto tanto danno al Comune di Milano.

Il virus ha effetto soltanto su Windows, ma queste estensioni sono tipiche dei file compressi usati in ambiente Mac, anche se sono leggibili da molti programmi di scompattamento per Windows e altri sistemi operativi. La cosa curiosa è che non mi risulta che queste estensioni venissero usate da Kama Sutra durante la sua prima ondata.

Un'altra cosa interessante è l'origine del virus: stando agli header del messaggio che trasporta l'infezione, si tratta di un utente Interbusiness italiano.

Received: from pella (host142-202.pool8263.interbusiness.it [82.63.202.142])
by mx.gmail.com with SMTP id e15si1212399qbe.2006.03.12.00.06.38;
Sun, 12 Mar 2006 00:06:47 -0800 (PST)

Questo indica che ci sono ancora computer infetti da Kama Sutra che nessuno si prende la briga di pulire, contribuendo a mantenere attivo il rischio d'infezione. Se qualcuno conosce questo "pella" o è in grado di risalire all'ubicazione dell'indirizzo IP indicato negli header, sarebbe carino avvisare l'utente del suo problema. Io ho già avvisato l'Abuse di Interbusiness, ma ho molti dubbi sulla sua efficienza (c'è però un aggiornamento a fine articolo).

Nel frattempo, a proposito di Kama Sutra e Comune di Milano, segnalo la sintesi dell'audizione redatta da Lele Rozza e Valerio Ravaglia di Attivazione.org. Spero di poterne parlare anch'io nei prossimi giorni. Dalla sintesi di Lele e Valerio, che contiene molte informazioni tanto utili quando deprimenti, cito in particolare questa frase, che andrebbe messa in cima alla lista delle cose da spiegare a chi non ha ancora capito i vantaggi di sicurezza delle soluzioni alternative a Windows:

...se in un sistema Windows la probabilità di incorrere in un virus è omologabile a quella che un bimbo milanese in età scolare prenda l’influenza a gennaio - con buona pace del pm10 - la possibilità di incappare in un virus per Linux è omologabile a quella che lo stesso bimbo prenda la lebbra o la peste bubbonica, malattie fortunatamente debellate ormai da anni.


Aggiornamento (2006/03/13)


Ho ricevuto or ora dall'Abuse di Telecom Italia questo messaggio:

Gentile Signore/a,

in relazione alla sua segnalazione, La informiamo che stiamo prendendo adeguate iniziative nei confronti del nostro abbonato che Le ha inviato posta infetta da virus.

Distinti Saluti.

Speriamo in bene. Io, intanto, continuo a ricevere e-mail infette dallo stesso indirizzo IP e probabilmente dallo stesso computer:

Received: from pella (host142-202.pool8263.interbusiness.it [82.63.202.142])
by mx.gmail.com with SMTP id e13si2570822qbe.2006.03.13.10.23.26;
Mon, 13 Mar 2006 10:23:38 -0800 (PST)

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili