Virus inviati per posta elettronica

Poiché il fenomeno si sta verificando con frequenza crescente credo che sia opportuno fare un po' di chiarezza circa i cosiddetti "virus" che vengono trasmessi tramite "attachment" a messaggi di posta elettronica.

Per la precisione si tratta di eventi più propriamente chiamati "troian horse", ovvero cavalli di Troia, piuttosto che di virus, ma ho utilizzato il termine virus perché maggiormaente usato.

Informazioni più approfondite sui vari tipi di attacco, sulla terminologia, etc. possono essere trovate seguendo i link riportati in Appendice 3.

Come si presentano

I messaggi hanno invariabilmente un attachment che ne costituisce il vero scopo: si tratta infatti di un programma eseguibile destinato a compiere l'azione dannosa.

Spesso l'attachment è dichiarato di tipo "JPG", "GIF" o "WAV" e sembra quindi un immmagine, un file sonoro o una animazione, ma è in effetti un programma eseguibile.

Nota: I files eseguibili sono di vari tipi, non solo quindi i files *.EXE, ma anche: *.COM, *.VBS, *.BAT, *.PIF, *.SCR, ed altri.

Come agiscono

Per entrare in funzione il programma inviato come attachment deve essere mandato in esecuzione; Ciò può avvenire volontariamente (è il caso più frequente) perché il ricevente effettivamente impartisce un comando di esecuzione o "clicca" sull'icona ritenendo che si tratti di un programma innocuo, oppure involontariamente.

Nota: I nomi dei file di attachment sono studiati per trarre in inganno. Ad esempio il nome può essere del tipo: "IMAGE.GIF      .EXE", che ha apparentemente una estensione .GIF ma in realtà termina per .EXE anche se la cosa sfugge perché il nome contiene una lunga sequenza di spazi e la vera estensione finisce fuori dallo schermo. Recentemente ho ricevuto un mail con un attachment di nome www.yahoo.com. È evidente che il nome è studiato in modo che sembri un link al noto sito Yahoo, mentre è in effetti un nome di file che termina per .COM e quindi che viene mandato in esecuzione con un "click".

In alcuni casi il programma Outlook Express può essere configurato in modo da ignorare il tipo di attachment dichiarato ed invece basarsi su una analisi indipendente del file per decidere l'azione; quindi un attachment può essere dichiarato di tipo GIF, ma contenere invece codice eseguibile che viene riconosciuto e mandato in esecuzione "cliccando" sull'icona.

Infine alcuni virus riescono a sfruttare "bug" (errori) nel programma di visualizzazione della posta elettronica, normalmente legati a qualche funzione "automatica" (ad esempio le funzioni di "anteprima" di immagini allegate al messaggio). In questo caso il virus può essere eseguito anche automaticamente.

La maggior parte dei virus che sfruttano errori di questo tipo agiscono solo se si usano alcune versioni di Outlook ed Outlook Express. Presso il sito Web della Microsoft sono disponibili le informazioni relative alle versioni vulnerabili e le "patch" per correggere l'errore.

Quello che accade in seguito all'esecuzione varia da caso a caso. Nei casi più frequenti il programma scrive sul monitor un messaggio di errore ed apparentemente fallisce, invece rimane attivo indefinitamente (nonché viene rilanciato ad ogni bootstrap) ed invia messaggi agli indirizzi trovati nell'indirizzario, componendoli utilizzando brani di messaggi trovati nei folder. Ad ogni messaggio è ovviamente allegata una copia del programma, con vari nomi di fantasia. In qualche caso viene invece mandato un messaggio prefissato, con una richiesta di aiuto o di consiglio.

Come evitarli

L'uso di un antivirus rappresenta solitamente una buona protezione purché si tengano presenti due aspetti:

• L'antivirus è realmente sicuro solo se mantenuto costantemente aggiornato (ad esempio settimanalmente).
• L'uso di un antivirus può essere addirittura dannoso se da all'utilizzatore un falso senso di sicurezza inducendolo a trascurare le norme elementari di precauzione che sono discusse sotto.

Nella maggior parte dei casi il virus entra in azione per una errata o inconsapevole manovra di chi lo riceve, quindi innanzitutto è importante conoscere bene il funzionamento del programma di posta elettronica che si usa. Occorre sapere come si presentano i vari tipi di attachment, come si fa per estrarli senza mandarli in esecuzione, come cancellarli, come verificare lo header, etc.

È anche assai importante disabilitare tutte le funzioni "automatiche", ad esempio quelle di "anteprima" che si trovano in alcuni programmi di posta elettronica (ad es.: Outlook). Anzi sarebbe assai consigliabile non utilizzare programmi di posta elettronica che consentano operazioni di tipo automatico.

Quando si riceve un messaggio "sospetto", la cosa migliore è ignorarlo e cancellarlo. È un rimedio semplice, economico e totalmente efficace.

Nota: In ogni caso è buona norma avvertire il corrispondente di aver ricevuto il probabile virus in modo che ne sia almeno consapevole. Occorre però tenere presente che l'indirizzo di provenienza può essere contraffatto e che quindi non è detto che il mittente dichiarato sia quello effettivo.

Se proprio non si può fare a meno di resistere alla curiosità è bene, prima di mandare in esecuzione il programma, attenersi alle seguenti regole:

• Chiedere conferma al mittente dell'avvenuto invio consapevole di un programma eseguibile.

• Chiedere al mittente la provenienza del programma e valutare attentamente l'attendibilità della risposta: in qualche caso il mittente può essere inconsapevole di ospitare un virus o non avere a sua volta ben valutato l'affidabilità della fonte di un programma.

• Effettuare l'estrazione del file dal messaggio in modo manuale. È bene che l'operazione sia fatta solo da chi conosce bene il funzionamento del programma di posta elettronica per evitare che il virus sia mandato in esecuzione inavvertitamente.

• Non affidarsi al risultato di una scansione del programma con un antivirus: spesso gli antivirus sono sostanzialmente inefficaci nei confronti di questi programmi.

• Chiedere ad un conoscente di eseguire il programma sul proprio PC: cosí eventualmente gli effetti li subisce lui :-).

Come verificare l'avvenuta infezione ed eliminarla

Se il messaggio rimane in qualche folder (cartella) è abbastanza facile riconoscerlo (si veda anche l'appendice 1), ma occorre tenere presente che il messaggio potrebbe essere arrivato tempo addietro ed essere stato cancellato e dimenticato.

Inoltre, poichè una delle azioni più comuni dei virus consiste nel replicarsi inviando messaggi con attachments agli indirizzi trovati sul PC infettato, prima o poi qualcuno dei corrispondenti abituali finirà per avvertire (magari con tono seccato) di aver ricevuto un messaggio con virus.

Non appena si ha il sospetto dell'avvenuta infezione occorre immediatamente scollegare il PC dalla rete in modo da impedire che continui ad inviare i messaggi di "contagio" e non ricollegarlo fino a che il problema non sia sicuramente risolto.

In molti casi un antivirus recente dovrebbe riuscire ad individuare e eliminare il virus. Tuttavia occorre tenere presente che questa operazione non da garanzia assoluta anche perché alcuni virus sono dotati di un meccanismo di "mutazione" rapida per aggirare i meccanismi di riconoscimento.

In qualche caso l'unico modo per eliminare il problema consiste nel cancellare totalmente il contenuto dei dischi e reinstallare da zero il sistema operativo. Si tratta ovviamente di una operazione estrema, altamente indesiderabile, e che rende chiaro come sia importante la prevenzione.

Negli esempi viene mostrato l'aspetto presentato dal programma pine e dal messenger di Netscape: si tenga presente che altri programmi di posta possono presentare in modo diverso le varie parti.

Esempio 1 - browser pine

Date: Fri, 29 Jun 2001 12:37:30 +0200 (MET DST)
From: xxxxxxxxx <xxxxxxxxx@alpha4.ct.astro.it>
Subject: =!"#$%
Parts/Attachments:
1 Shown     0 lines  Text (charset: ISO-8859-1)
2   OK     67 KB     Image
----------------------------------------


=!"#^$^.

[ Part 2, Image/GIF  89KB. ]
[ Not Shown. Use the "V" command to view or save this part. ]

Esempio 2 - browser Netscape

Nel messaggio qui a fianco è facile identificare il virus nell'attachment con estensione .bat. Si noti comunque che alcuni browser potrebbero essere configurati in modo da non mostrare il nome del file, ma solo un'icona corrispondente, nel qual caso l'identificazione potrebbe essere meno evidente. Si noti inoltre che anche il testo è sotto forma di attachment; ciò significa che anche solo per leggere il testo occorre aprire un attachment, il che aumenta le probabilità che il virus venga mandato in esecuzione per errore. Anche in questo caso vale la regola generale di conoscere bene le caratteristiche del browser utilizzato in modo da evitare azioni fatte inavvertitamente.

Anche se non hanno, come apparirà chiaro, niente a che fare con virus o altre forme di attacco informatico penso sia opportuno citare questi tipi di messaggi, anch'essi abbastanza diffusi.

Si tratta in sostanza di messaggi di posta elettronica che avvertono dell'esistenza di virus di cui descrivono caratteristiche e pericolosità e talvolta i modi per difendersi o eliminarli. Tutti comprendono la raccomandazione di diffondere la notizia presso tutti i conoscenti.

In molti casi la notizia è falsa ed il danno consiste nell'intasamento delle caselle di posta elettronica derivante dalla "catena di S.Antonio" di messaggi di avviso o altre volte, è causato dalle stesse operazioni consigliate per difendersi dal virus.

A titolo di esempio si veda il seguente:

Date: Fri, 12 Oct 2001 10:45:13 +0200 From: xxxxxx@alcatel.it To: lfini@arcetri.astro.it Subject: Grazie e virus Ho ricevuto (da fonte sicura) questo messaggio, vale la pena controllare. > Subject: : Allarme virus > > > > IL VIRUS "fnbk" è stato trovato su dischi rigidi ma non è stato > > attivo fino ad oggi. E' programmato per divenire attivo. Non viene > > rilevato dai comuni antivirus McAfee o Norton per il suo ritardo di > > attivazione. Nessuno sa da quanto tempo sia nel sistema. Forse da > > mesi. Quando diverrà attivo sopprimerà tutti i files e le > > cartelle del disco fisso. SI PROPAGA PER EMAIL e si infiltra nel > > disco c:/windows/command > > > > PER TROVARLO E SOPPRIMERLO SEGUIRE LE ISTRUZIONI SEGUENTI: > > > > cliccare AVVIO > > scegliere TROVA > > sceglire FILE O CARTELLE > > andare a "CERCARE IN" e selezionare "Disco fisso C" > > sulla linea del nome scrivere: SULFNBK.EXE > > Se il programma viene trovato cliccatelo ma NON APRITELO!!!!!!! > > Nel menu Modifica cliccare "seleziona tutto" > > Nel menu File cliccare "elimina" > > chiudere la finestra "risultato della ricerca" > > VUOTARE IL CESTINO > > > > Ora siete al sicuro, ma la cattiva notizia è che se avete trovato tale > > file nel computer, avrete certo contaminato coloro ai quali avete inviato > > e.mails da molti mesi.

Il file SULFNBK.EXE è un file di sistema di Windows e quindi si trova su tutti i PC. Cancellandolo si disabilita il meccanismo per associare i nomi brevi dei files ai nomi lunghi. Non è un malfunzionamento grave, ma comunque il sistema poi non funziona più correttamente.

Ecco un secondo esempio di messaggio dello stesso tipo costruito in modo molto abile: esempio.

Concludo con un esempio di caso estremo, divertente, ma che nella sostanza non è diverso da altri messaggi che, per essere scritti in linguaggio tecnico assai convincente, sono stati presi decisamente sul serio:

Date: Fri, 29 Jun 2001 12:37:30 +0200 (MET DST) From: xxxxx@tin.it To: lfini@arcetri.astro.it Subject: virus albanese In questo momento voi avete ricevuto il "virus albanese". Siccome noi nella Albania non ha esperienza di software e programmazione, questo virus albanese funziona su principio di fiducia e cooperazione. Allora, noi prega voi adesso cancella tutti i file di vostro ard disc e spedisce questo virus a tutti amici di vostra rubrica. Grazie per fiducia e cooperazione.

• Informazioni generali sui virus
• Documento GARR circa i Virus diffusi via e-mail
• I falsi virus