lunedì 7 maggio 2007

W32/SillyFD-AA, quando il worm arriva dalle chiavi usb

Gli esperti di sicurezza informatica mettono in guardia gli utenti contro un nuovo worm che ha la peculiarità di diffondersi utilizzando gli "usb storage"

Ad una veloce e superficiale lettura di quanto sopra, potrebbe sembrare di essere tornati indietro di una trentina d'anni, quando internet era ancora in fase embrionale e la diffusione dei virus e dei primi programmi malevoli avveniva tramite lo scambio di floppy disk infetti.

Ma non siamo tornati indietro nel tempo: semplicemente gli esperti di sicurezza informatica di Sophos hanno rilevato un nuovo tipo di worm che ha la peculirità di diffondersi attraverso le periferiche di archiviazione di massa usb (chiavette, penne, ecc...).

L'usanza di scambiare dati (foto, testi, mp3) con amici e colleghi utilizzando questo tipo di supporto è abbastanza diffusa, grazie alla sempre maggiore disponibilità di dispositivi che utilizzano questi tipo di connessione al pc, effettivamente molto comoda. Il worm scoperto dagli esperti di Sophos (dettagli qui) si appoggia proprio a questa "comodità" e tranquillità con cui molti si scambiano dati utilizzando questo tipo di periferiche.

Molto brevemente, il worm si lancia in modo automatico quando una periferica infetta di questo tipo viene collegata al pc, e ciò grazie ad un file (autorun.inf) creato appositamente per questo scopo. Una volta che il worm è lanciato effettua una scansione del sistema che lo ospita al fine di individuare altre periferiche di questo tipo eventualmente collegate al pc, alle quali trasmettere copia del worm sotto forma di un eseguibile nascosto chiamato handydriver.exe.

Una volta che il sistema è infettato, il worm fa più o meno quello che fanno i programmi di questo tipo: cerca di occultare la sua presenza. E lo fa in questo caso modificando alcune chiavi del registro di Windows; ci si accorge della sua presenza perché nel titolo delle finestre di Internet Explorer compare, dopo il titolo, la frase "hacked by 1byte".

Naturalmente, almeno per adesso, non è il caso di allarmarsi in quanto la diffusione del worm è ancora piuttosto bassa. In più la maggior parte delle case produttrici di antivirus ha già pubblicato le definizioni per tutelarsi da questa minaccia. Quindi è sufficiente tenerlo costantemente aggiornato per essere relativamente al sicuro.

Naturalmente, come ho già detto in altre occasioni, all'antivirus va affiancato il buon senso, che nella fattispecie significa non far girare disinvoltamente periferiche di questo tipo di dubbia provenienza, neppure se ci vengono date da un amico, il quale potrebbe essere infetto a sua volta senza saperlo (spesso le grane più grosse ce le procurano proprio gli amici). E' anche buona norma, ogni volta che si inserisce una periferica nel pc (che siano penne usb, floppy, cdrom, ecc...) disabilitare l'autorun (a meno che non si utilizzino sistemi alternativi immuni, come Linux e Mac), o, in alternativa, scansionare la periferica in questione con l'antivirus (aggiornato) prima di aprire qualsiasi file.

Come al solito, insomma, per ottenere la protezione migliore, all'antivirus va affiancato il "programma" che è localizzato tra... la sedia e il monitor.

Nessun commento:

Posta un commento

Un mondo senza lavoro

  In un futuro forse non troppo lontano le persone che lavoreranno saranno poche, a causa soprattutto dell'inarrestabile processo di aut...