Dilaga il virus KamaSutra.

Di Paolo Attivissimo.

Promette emozioni os ma regala infezioni. Il 3 febbraio devasta il PC.

ZEUS News.

www.zeusnews.it.

26-01-2006.

Perch usare tecnologie informatiche sofisticate quando basta il trucco pi vecchio del mondo? Il virus che  in questo momento in cima alla classifica di diffusione in Italia conferma la validit di questo approccio psicologico pi che tecnico. Infatti gli basta presentarsi come allegato a un e-mail che promette la visione di immagini porno, e gli utenti lo aprono allegramente senza farsi domande. Depravati!

Sto parlando del virus (pi propriamente worm) denominato dai tecnici Grew.A, W32/Nyxem-D, Email-Worm.Win32.VB.bi o Blackmal.E, noto anche con il nome leggermente pi memorabile di "KamaSutra".

Il suo metodo d'infezione  estremamente banale: la vittima riceve un e-mail in inglese (e gi questo dovrebbe far venire qualche dubbio, ma lasciamo perdere) intitolato "Hot Movie", "SeX.mpg", "Crazy illegal Sex!" e simili. Il testo del messaggio, sempre in inglese, invita a vedere il file allegato, presentato come "Sex Video", "Hot XXX Yahoo Groups" o "Fuc**** KamaSutra pics" (donde il nome) e compagnia bella. Alcuni testi sono meno os, ma il concetto  sempre lo stesso: un invito ad aprire un allegato.

Aprendo l'allegato, se la vittima usa Windows viene attivato il virus, che disattiva la maggior parte degli antivirus, si diffonde anche attraverso le cartelle condivise, tenta di comunicare col proprio padrone via Internet, inietta pezzi del proprio codice in vari punti di Windows, e poi spedisce di nascosto copie di se stesso a tutti gli indirizzi che trova nei file presenti nel computer della vittima. Gi che c', il virus modifica Windows in modo da essere eseguito automaticamente ogni volta che la vittima riavvia Windows e una volta ogni ora.

 Le versioni di Windows vulnerabili sono 98, ME, NT, 2000, XP e Server 2003. Gli utenti Mac e Linux possono dormire sonni vigili ma tranquilli.

La cosa pi sgradevole di questo virus "KamaSutra"  che rischia di mettervi in una posizione difficile, ma non del tipo che state pensando: infatti il terzo giorno di ogni mese, mezz'ora dopo l'avvio di Windows, cancella tutti i file con le estensioni DMP, DOC, MDB, MDE, PDF, PPS, PPT, PSD, RAR, XLS e ZIP. Al posto del contenuto dei file, trovate una falsa indicazione di "errore dati".

Il prossimo 3 febbraio, quindi, potrebbe essere una giornata molto dolorosa per gli imprevidenti che si sono fatti infettare. Rischiano di perdere, per esempio, tutti i loro documenti Word e Acrobat, le presentazioni PowerPoint e gli spreadsheet di Excel se non ne hanno una copia di scorta.

Per rimuovere il virus non potete fare affidamento sull'antivirus che avete, perch probabilmente "KamaSutra" lo ha disattivato: usate uno degli appositi programmi di rimozione, come quello scaricabile gratuitamente dal sito dell'antivirus Nod32.it:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=VBClean.

La raccomandazione  sempre la stessa: imparate (e fate imparare) a non aprire gli allegati, di qualsiasi genere, senza controllarli prima con un antivirus aggiornato. Non fidatevi degli allegati inattesi.

In questo caso specifico, come per altri virus recenti, il mittente del messaggio infetto pu essere falsificato, per cui non scagliatevi contro chi sembra avervelo mandato: potrebbe essere del tutto innocente. Limitatevi a controllare che il vostro computer non sia infetto (se usate Windows) e invitate gli altri a fare altrettanto.

Se gestite gruppi di discussione e ve li trovate pieni di messaggi- esca del virus, segnalate il problema nel gruppo e chiedete a tutti di eseguire un controllo antivirale usando gli strumenti di rimozione sopra citati invece dell'antivirus.

I dettagli tecnici di "KamaSutra" sono disponibili in italiano presso Nod32.it e in inglese presso vari siti, come per esempio quello di Trend Micro.

Aggiornamento (2006/1/25):

Secondo Fortinet, fra i possibili sintomi rilevabili di "Kama Sutra" ci sono avvisi del firewall che segnalano tentativi di uscita di Scanregw.exe, Update.exe e Winzip.exe; inoltre il computer infetto potrebbe essere insolitamente lento. "Kama Sutra"  in grado anche di danneggiare alcuni programmi di scambio P2P, come BearShare, Morpheus e Limewire.

Information Week, che cita sempre fonti Fortinet, dice che il virus/worm  in grado inoltre di alterare Windows in modo da fargli considerare autentica una firma digitale falsa dei controlli ActiveX. Questo consente a qualsiasi aggressore di iniettare nel PC violato un controllo ActiveX ostile, che Windows creder sicuro perch firmato digitalmente. Ribadisco il consiglio gi dato da un anno a questa parte: ActiveX  il male e va disabilitato. Le informazioni su come procedere sono nel mio Acchiappavirus.

Paolo Attivissimo.

