Cerca nel blog

2007/01/24

Attenti alle brutte notizie, portano virus

Nuovo espediente virale: le cattive notizie


A tempo di record, i creatori di virus hanno approfittato della tempesta che ha devastato il nord Europa per lanciare una nuova campagna d'attacco. Mentre il maltempo ancora imperversava, hanno diffuso un nuovo virus sotto forma di allegato a un messaggio di posta il cui titolo faceva riferimento alle cattive notizie meteorologiche. Il virus è denominato CME-711 o Trojan.Peacomm, Downloader-BAI e in molti altri modi dai vari produttori di antivirus (mettersi d'accordo su un solo nome sarebbe troppo furbo, vero?).

I dettagli sono pubblicati dalla newsletter SalvaPC di Punto Informatico, dalla BBC e da F-Secure. Si tratta di una strategia psicologica nuova da parte degli autori di virus: far leva sull'emozione e la curiosità destate dall'annuncio di notizie drammatiche e così abbassare la guardia dell'utente, inducendolo ad aprire un allegato infettante nella speranza di saperne di più.

I titoli dei messaggi infettanti, infatti, fanno chiaro riferimento a notizie molto gravi: si va da "Genocidio di musulmani britannici" a "Morto Fidel Castro" a "Missile cinese abbatte aereo USA". E c'è anche la versione che annuncia che "Saddam Hussein è ancora vivo!" e che "Condoleezza Rice molla un calcio al cancelliere tedesco Angela Merkel". L'allegato ha un nome che suggerisce che i dettagli della notizia siano al suo interno (fullvideo.exe, full story.exe, read more.exe, e altri). L'attacco è mirato a convertire i computer delle vittime in "schiavi" per formare una botnet (rete di computer da usare per altri scopi, come invio di spam o attacchi più mirati), ma può anche raccogliere indirizzi di e-mail e dati di carte di credito.

Va ricordato che il virus (anzi, i vari virus che usano questa tecnica, secondo F-Secure) ha effetto esclusivamente su computer che usano Windows e che vale la regola di sempre: non basatevi sul titolo di un messaggio per decidere se aprirne o meno l'allegato. Usate invece un buon antivirus, tenetelo aggiornato, e non aprite mai allegati di provenienza dubbia. Anche quando l'allegato sembra provenire da un amico, sinceratevi che ve l'abbia davvero mandato lui e che non si tratti di un'impostura.

2 commenti:

Anonimo ha detto...

(mettersi d'accordo su un solo nome sarebbe troppo furbo, vero?)

In effetti la denominazione CME-711 che hai citato fa riferimento al sistema del Common Malware Enumeration (http://cme.mitre.org/) a cui più o meno tutti i vendor aderiscono, salvo poi usare anche i nomi "di fantasia".
Credo che il problema sia che è molto più facile catturare l'attenzione della stampa con dei nomi tipo Chernobyl, MyDoom e Netsky piuttosto che con sigle e numeri: e i vendor di antivirus _adorano_ l'esposizione mediatica :-)
Non è detto che sia necessariamente un male, dopotutto anche i vendor possono essere una fonte di informazione e cultura informatica.

Anonimo ha detto...

sì, ma almeno che si mettano d'accordo su un solo nome per l'esposizione mediatica... altrimenti i canali di informazione, che già si confondono di suo, potrebbero presentare notizie tipo "scoperti tre nuovi virus che stanno devastando la rete: Satan, MyDoom e Doom666" perchè non hanno capito che sono tre nomi diversi per lo stesso virus.