|
di Walter Aresca
E' quasi natale e siamo alle
solite. Come accade da qualche
anno a questa parte, infatti,
ecco Zafi.d (chiamato anche Erkez.D),
il worm di turno che, sfruttando
la grande mole di corrispondenza
legata alle festività,
ha il potere di creare parecchi
problemi colpendo tutte le versioni
Windows, dalla 95 in poi.
Il worm si presenta all'interno
di una email sotto forma di cartolina
augurale, ma può diffondersi
anche attraverso i sistemi di
file sharing peer-to-peer. Già
circola in abbondanza in Germania,
Spagna e Francia; anche nel nostro
Paese si registrano le prime infezioni,
questo perché - rispetto
ad altri worm - Zafi.d può
arrivare non solo attraverso una
email in inglese, ma anche in
altre lingue.
Riconoscerlo non è sempre
facile, anche se nella versione
italiana si presenta con un subject
esplicito: "Re: Buon Natale!"
oppure "Fw: Buon Natale!",
o anche "Buon Natale!".
Nel testo del messaggio si legge:
"* Buon.... ....Natale! *
:) (NOME UTENTE)". In allegato
si posso trovare alcuni tipi di
file diversi per estensione, quali
.pif, .cmd, .bat, .com o .zip;
in ogni caso fanno riferimento
ad una cartolina augurale tipo
"cartoline.christmas.index.jpg3051.zip".
Il mittente del messaggio non
è il PC infetto, ma uno
degli indirizzi trovati sui computer
infettati che il worm sfrutta
per l'invio delle email di "auguri".
Una volta avviato il file infetto,
Zafi.d si inserisce nel registro
di Windows in modo tale da assicurarsi
di essere sempre attivo ad ogni
riavvio del PC. Inoltre copia
se stesso con il nome di "winamp
5.7 new!.exe" o "ICQ
2005a new!.exe" nelle cartelle
del computer il cui nome comprenda
i termini "share", "upload"
o "music". Il worm scansiona
una quantità di file diversi
(compresa tutta la rubrica di
Windows), si autospedisce a tutti
gli indirizzi trovati e, sfruttando
un proprio motore SMTP, cerca
di impedire che l'utente si accorga
dell'invio di messaggi malevoli.
Ma c'è di più. Per
non essere rilevato dalle società
di sicurezza antivirus e da i
grandi portali web, Zafi.d non
viene inviato agli indirizzi contenenti
una serie di nomi noti, da "hotm"
(Hotmail) a "Kasper"
(Kaspersky Labs); nel contempo
cerca di disattivare tutte le
applicazioni di protezione attive
sul PC installando una backdoor
che consente di accedere al computer
dall'esterno con la possibilità
di cancellare dati o importarne
di nuovi. Ecco le ragioni per
cui Trend Micro e F-Secure ritengono
questo worm piuttosto insidioso.
A allora, come difendersi? In
presenza di un worm di questo
tipo è assolutamente necessario
non aprire l'allegato, anche perché
non tutti i centri di antivirus
hanno già sviluppato un
aggiornamento dei propri sistemi
di protezione. Massima cautela,
quindi!
Trend Micro ha prodotto uno scanner
in grado di colpire Zafi.d reperibile
a questo indirizzo.
Se malauguratamente si rilevasse
la presenza del worm sul proprio
computer, bisogna seguire la seguente
- complessa - procedura di rimozione:
aprire il file di registro (regedit
da "Esegui" del menu'
avvio) - aprire la chiave
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows> CurrentVersion>Run
- sulla destra cercare e cancellare
le chiavi: Wxp4 = "SYSTEM\Norton
Update.exe" ("SYSTEM"
va sostituita con il percorso
della cartella di sistema di Windows
("system" appunto) che
varia a seconda della versione
di Windows o delle preferenze
dell'utente. Attenzione pero',
modificare il registro senza sapere
esattamente cosa si stia facendo
potrebbe essere dannoso. Procedere
sempre con molta cautela.
Per saperne di più:
- Symantec Security Response
- F-Secure
- Trend Micro
Aggiornato il 16 dicembre 2004
|
