Cerca nel blog

2007/07/03

Il virus di Harry Potter

Il finale di Harry Potter svelato. Da un virus


Questo articolo vi arriva grazie alle gentili donazioni di "fulviona****" e "ianaz90".

Gli autori di virus si confermano fini conoscitori della mente umana oltre che informatici perversamente abili. La società antivirale Sophos segnala infatti un virus, più propriamente un worm, denominato W32/Hairy-A, che si spaccia per un file Word contenente il testo del prossimo libro della saga di Harry Potter, intitolato Harry Potter and the Deathly Hallows (il titolo italiano non è ancora stato scelto, ma una traduzione letterale potrebbe essere Harry Potter e le reliquie mortali).

Vista l'attesa per l'uscita del libro, la tentazione di aprire un file del genere buttando al vento la prudenza è comprensibilmente forte, ed è proprio su questo che contano gli autori di questo worm.

Il worm W32/Hairy-A, in quanto tale, non ha bisogno di arrivare come allegato via e-mail (anche se questa forma d'infezione non è da escludere): è in grado di propagarsi autonomamente a qualsiasi PC Windows non adeguatamente protetto. Gli utenti Mac e Linux sono immuni a questa minaccia.

Il worm infetta automaticamente un PC Windows non appena gli si collega una chiavetta o un disco USB contenente Hairy-A se l'utente non ha disabilitato la funzione Autorun sulle unità USB (cosa che andrebbe fatta comunque ed è un classico esempio di progettazione insicura fatta in nome della facilità d'uso).

L'utente infetto si trova sul proprio computer un file di nome HarryPotter-TheDeathlyHallows.doc, che contiene soltanto la frase "Harry Potter is dead". Intanto che la vittima agonizza per la terribile rivelazione e comincia a rendersi conto di essere stato gabbato, il worm va silenziosamente a caccia di altri dischi rimovibili da infettare. Fatto questo, crea dei nuovi utenti Windows con i nomi dei personaggi principali della saga.

Come se non bastasse, aprendo questi utenti compare un messaggio che invita a "leggere e pentirsi... la fine è vicina..." e se la prende con l'autrice J.K. Rowling. Infine, gli utenti infetti che lanciano Internet Explorer (e che già per questo andrebbero puniti) si ritrovano con la pagina Web iniziale cambiata: vengono infatti portati al sito Amazon.com, specificamente alla pagina dove viene venduto un libro di parodia della saga di Harry Potter.

Il worm non sembra avere fini di lucro, come è di moda oggi, ma sembra essere un atto vandalico fine a se stesso, forse motivato da un astio personale nei confronti di J.K. Rowling. Infettare un computer altrui resta comunque un crimine, indipendentemente dalle motivazioni.

Fra l'altro, non è la prima volta che gli autori di virus sfruttano la leva psicologica di Harry Potter, come nota Sophos: altri tentativi furono fatti, per altri scopi, già nel 2005 e nel 2004.

Il vero problema, più generale, è che sembra esserci una nuova tendenza a scrivere virus/worm che si propagano attraverso le chiavette USB, i dischi rimovibili, e i CD e DVD masterizzati. E' un ritorno al passato pre-Internet, quando il veicolo principale d'infezione erano i dischetti, e sfrutta appunto la funzione Autorun di Windows. Gli antivirus sono in grado di gestire anche questa forma di attacco, ma al prezzo di rallentamenti significativi del computer.

Per disabilitare temporaneamente questa funzione, premete il tasto Shift (Maiusc) e tenetelo premuto ogni volta che inserite nel vostro computer uno di questi dispositivi se avete ragione di pensare che sia infetto (per esempio la chiavetta USB passatavi dall'amico fidato).

11 commenti:

Francesco Sblendorio ha detto...

Ricorda i boot virus degli Amiga: si propagavano attraverso i dischetti autopartenti. Dato che l'hard disk era un vero lusso per l'epoca, la maggior parte del software veniva distribuito sotto forma di dischi di boot.

magaolimpia ha detto...

Ma come si fa a disabilitare permamentemente il (tra l'altro fastidioso) avvio autmoatico di chiavette usb e anche di cd-rom?

Anonimo ha detto...

A memoria non me lo ricordo, mi pare ci sia anche una chiave di registro Autoplay, comunque se premi F1 c'è la guida di windows.
E` spiegato in microfrostiano però se hai un po' di pratica di computer puoi riuscire a capire quello che devi fare per disabilitarlo...
Effettivamente l'autoplay è
a) fastidioso
b) inutile perchè se voglio soltanto vedere cosa c'è su un cd perchè deve partire con l'installazione?
b) non sicuro perchè chiunque può scrivere sull'autoplay cosa lanciare e divertirsi sul mio pc come infilo un supporto esterno...

Gabriyel ha detto...

chiara: ti consiglio di installare tweakui, sofwarino messo a disposizione gratuitamente da ms stessa, che permette di disabilitare l'autoplay e un sacco di altre cose fastidiose di windows (tipo i baloon tips, che io odio tanto).

vale56 ha detto...

il metodo più sicuro per disabiltare AutoPlay/AutoRun è quello si utilizzare delle utility typo xp-antispy (sito http://xp-antispy.org/)
e selezionare l'opzione opportuna, nella versione in italiano si chiama "non avviare in automatico i cd", altrimenti si va sulle chiavi di registro con Regedit.exe

chiave HKEY_LOCAL_MACHINE
\System\CurrentControlSet
\Services\CdRom\Autorun portare il valore a 0

Dan ha detto...

Stavo per dire qualcosa, ma ho guardato nella knowledge base di Microsoft... per "disattivare" l'autoplay si deve selezionare le categorie di file (musicali, film DVD, dati ecc) e indicare l'azione standard da effettuare per ogni categoria (ripoduci, stampa, esplora ecc.) E questo per TUTTE le categorie, in TUTTE le unità CD/DVD/USB possibili... ora ho capito perchè consigliavate vari tool e modifiche al registro, è più semplice. La cosa più svelta sarebbe impostarlo come ho sempre avuto anch'io, ovvero "chiedi ogni volta", ma può essere un fastidio... sono un nostalgico, o mi sembra fosse molto più semplice come era in Win95/98 dove una checkbox "attiva AutoPlay" si occupava di tutto..?

paolo ha detto...

Secondo voi, quali magie sta contemplando Harry?

Anonimo ha detto...

@Dan
io ho disabilitato l'autoplay ma non ho selezionato nessuna delle categorie, sono un paio di opzioni da selezionare e l'autoplay è disabilitato per qualsiasi cosa tu possa infilare nell'unità CD/DVD
sono un paio di chiavi di registro...
cmq su questo sito è spiegato abb. bene

http://www.dotnethell.it/tips/AbilitareAutoplayXP.aspx

questo è in formato solo testo
http://www.cavazza.it/pcciechi/2005/11/html/autorun.htm

ciao a tutti
Guido

Dan ha detto...

Lo so, ma modificare chiavi di registro non è cosa alla portata di tutti... mentre all'epoca, anche i giovane Dan sapeva andare in Pannello di Controllo e usare quella comoda checkbox. Perchè ogni volta che aggiungono features ai prodotti microsoft fanno in modo di complicare le cose?

"Secondo voi, quali magie sta contemplando Harry?"
"Ma guarda, 'quelle' tutte le volte che le guardo sono più grandi... magia!"
Eh eh eh, chi può biasimarlo? Hermione è una ragazza davvero carina...

NoWhereMan ha detto...

@paolo: stavo pensando la stessa cosa

la_mela_nera ha detto...

http://www.symantec.com/security_response/writeup.jsp?docid=2007-073010-4123-99&tabid=2


ne è uscito uno simile ma distrugge gli mp3 :O