di

Nel caldo afoso di questa estate 2003, un nuovo virus informatico si sta diffondendo velocemente in tutto il mondo, Italia compresa.

Si chiama Blaster (o anche Lovsan), appartiene alla famiglia dei Worm e ha come obiettivo principale quello di oscurare il sito Internet degli aggiornamenti software di Microsoft, windowsupdate.com. Il codice colpisce soltanto i personal computer con sistema operativo Windows NT, 2000, XP e Server 2003. In particolare sono soggetti a Blaster i server web e i computer connessi a Internet che non hanno installato la patch Microsoft.
I sistemi operativi Windows 95/98/Me sono invece immuni.

In realtà le macchine infette non sono il vero obiettivo, esse servono da tramite per un progetto che vuole colpire direttamente Bill Gates e la Microsoft. Ogni volta che si riaccende il pc che Blaster ha già infettato, modificando il registro di Windows, il programma installato con l'eseguibile va alla ricerca di nuovi pc da attaccare, e il worm li istruisce in modo che a partire dal 16 agosto 2003 e fino alla fine dell'anno, essi inviino il loro traffico dati verso il sito windowsupdate.com.

Blaster non arriva tramite posta elettronica. Per diffondersi sfrutta una falla di sicurezza scoperta recentemente e chiamata DCOM RPC, meglio descritta nell'apposita pagina messa a punto da Microsoft: la funzione Remote Procedure Call consente agli utenti di condividere file. Sfruttando la falla, il worm si insinua nel computer attraverso la porta TCP numero 135, uploadando un file (msblast.exe) il quale tenta di generare un attacco Denial of Service (DoS) al sito windowsupdate.com, per impedire che gli utenti infetti possano scaricare la patch che impedisce al worm di entrare nel sistema.

"I just want to say LOVE YOU SAN" è il messaggio che compare sui computer infettati da Lovsan (appunto) o Blaster. Un altro messaggio, tradotto, cita: "Bill Gates, perchè rendi questo possibile? Smetti di fare soldi e sistema i tuoi software!!". In certi casi si ha il riavvio del computer durante la navigazione, per evitare che l'utente possa scaricare le patch del sistema operativo: in questo caso, per aggirare il virus, è sufficiente modificare la data del sistema al 2002.

Per evitare l'infezione, per prima cosa è indispensabile avere installato sul proprio computer un buon software antivirus (raccomandiamo McAfee VirusScan o Panda Antivirus e,se possibile, un firewall (raccomandiamo Zone Alarm), capace di monitorare le porte del Pc. Questi due applicativi, in genere, sono sufficienti per contrastare e fermare l'avanzata dei codici virus o worm. Nel caso di Blaster sarà però necessario aggiornare anche il sistema operativo con l'ultima patch rilasciata da Microsoft. E' gratuita ed è disponibile a questo sito: evitate gli aggiornamenti offerti da altri siti, potrebbero contenere essi stessi dei virus!

L'aggiornamento del sistema con le patch di Microsoft è vivamente consigliato in quanto la falla potrebbe ben presto essere utilizzata da altri virus in gestazione! Non è infatti facile pensare che la Microsoft riuscirà facilmente a respingere l'attacco di Blaster-Lovsan, ma la falla sui pc di tutto il mondo rimarrà sino a quando le patch non saranno installate.

Ecco qui di seguito alcuni dei tool gratuiti sviluppati per Blaster dalle principali software house produttrici di antivirus.

• F-Secure - Anti Blaster
• BitDefender: tool per vari virus
• Symantec: Fix Blaster

Spacciandosi come tool di rimozione di Blaster, anche il worm Welchia (o anche Nachi-a) oltre ad attaccare la stessa vulnerabilità di Blaster sfrutta un ulteriore buco di sicurezza per il quale Microsoft aveva già rilasciato una patch nello scorso marzo. Clicca per avere ulteriori informazioni su Welchia o per scaricare il tool per rimuoverlo.

Per maggiori informazioni:

• CERT Advisory CA-2003-20 W32/Blaster worm
• Symantec: W32.Blaster.Worm info page
• Sophos: W32/Blaster-A info page

Aggiornato il 5 settembre 2003