[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[INTERNET PER TUTTI] #2003-060 (12/8/2003). Difendersi dal virus (worm) MsBlast/Blaster/Lovsan
- Subject: [INTERNET PER TUTTI] #2003-060 (12/8/2003). Difendersi dal virus (worm) MsBlast/Blaster/Lovsan
- From: Paolo Attivissimo <topone@pobox.com> (by way of Carlo Gubitosa <c.gubitosa@peacelink.it>)
- Date: Mon, 18 Aug 2003 15:00:57 +0200
__#2003-060 (12/8/2003). Difendersi dal virus (worm) MsBlast/Blaster/Lovsan__
Se il vostro Windows ha improvvisamente iniziato a spegnersi da solo e
riavviarsi ogni 60 secondi, con un bel conto alla rovescia sullo schermo,
siete vittima del virus (più propriamente worm) Blaster, detto anche Lovsan
o MsBlast. A quanto pare, la diffusione di questo nuovo "virus" sta
avvenendo massicciamente in queste ore e i computer colpiti sono già oltre
60.000 secondo Symantec (http://news.bbc.co.uk/1/hi/technology/3143625.stm).
L'avviso ufficiale del CERT è disponibile presso
http://www.cert.org/advisories/CA-2003-20.html.
Blaster/Lovsan/MsBlast colpisce soltanto i computer con i più recenti
sistemi operativi Microsoft Windows. Secondo il bollettino Microsoft
(http://microsoft.com/technet/security/bulletin/MS03-026.asp), sono
vulnerabili Windows NT 4.0, Windows NT 4.0 Terminal Services Edition,
Windows 2000, Windows XP,Windows Server 2003. Il bollettino Microsoft
dichiara esplicitamente che Windows ME è immune a questa vulnerabilità .
Non fa menzione di Windows 98, probabilmente perché Microsoft ha da poco
smesso di offrire supporto tecnico per questa versione di Windows. Comunque
sia, dalle segnalazioni in circolazione sembra che anche Windows 98 sia
immune (meraviglie del progresso). Gli altri sistemi operativi, come Linux
e Mac, ne sono immuni.
Va chiarito che, a differenza di quasi tutti i virus più comuni,
Blaster/Lovsan/MsBlast non si propaga tramite e-mail: le macchine infette
tentano direttamente e a casaccio di infettare le altre macchine che
trovano su Internet.
La vulnerabilità che consente a Blaster/Lovsan/MsBlast di agire è descritta
da Microsoft presso http://support.microsoft.com/?kbid=823980, dove trovate
anche le patch di correzione, disponibili da parecchio tempo, per Windows
XP (Home e Pro), Windows Server 2003, Windows NT 4.0 e Windows 2000.
Un altro sintomo dell'infezione di Blaster/Lovsan/MsBlast è la presenza di
un file di nome "msblast.exe" nella directory "system32" di Windows. Le
soluzioni per rimuoverlo in caso di infezione sono descritte da Trend Micro
presso
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
Un altro strumento di rimozione è disponibile presso Symantec:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
L'analisi di McAfee è disponibile presso:
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
Blaster/Lovsan/MsBlast è degno di nota per varie ragioni. La prima è che il
suo scopo non è danneggiare le macchine infette (a parte paralizzarle con
continui riavvii), ma rendere inaccessibile il sito windowsupdate.com di
Microsoft, utilizzato dagli utenti Windows per scaricare i continui
aggiornamenti del loro sistema operativo. L'attacco a windowsupdate.com
viene realizzato coordinando le macchine infette in modo che tentino tutte
di inviare dati appunto a Windowsupdate.com, intasando pertanto il sito.
Il primo attacco coordinato è previsto, stando alle istruzioni contenute
nel worm, per il 16 di questo mese, e si ripeterà nei mesi successivi.
Pertanto, se gli utenti Windows non ripuliscono le proprie macchine, zio
Bill si troverà nelle peste.
La seconda ragione è che questa vulnerabilità è sì un sintomo dello scarso
controllo di qualità del software Microsoft, ma è soprattutto un sintomo
dell'incompetenza, incoscienza e impreparazione degli utenti a ogni
livello, compreso quello professionale. La vulnerabilità è infatti nota dal
16 luglio 2003 e tutte le società specializzate in sicurezza e persino
molti governi, compresi quello statunitense, hanno emesso bollettini
appositi per avvisare dell'esistenza della falla e della assoluta necessità
di chiuderla. In altre parole, si sapeva che questo attacco sarebbe
arrivato, e sarebbe arrivato anche presto; l'allarme è stato pubblicizzato
ai massimi livelli. Il fatto che il worm si stia diffondendo così
allegramente dimostra che una bella fetta di utenti se ne è strafregata e
non ha scaricato e installato gli aggiornamenti gratuiti.
La terza ragione è che questo attacco sfrutta delle porte di Windows che
sono accessibili da Internet soltanto se il computer è privo di firewall.
Anche se non installate gli aggiornamenti di correzione Microsoft, se avete
un firewall siete immuni. Soltanto gli utenti Windows che non hanno
aggiornato il proprio software e oltretutto non usano un firewall sono
colpiti da Blaster/Lovsan/MsBlast.
Sono anni, per non dire decenni, che io e tanti altri ben più autorevoli di
me ci sgoliamo a raccomandare di installare un firewall (ad esempio Zone
Alarm, www.zonelabs.com) su qualsiasi PC connesso a Internet, e che esporre
a Internet una macchina Windows è rischioso, ma farlo senza neppure la
protezione di un firewall decente è semplicemente stupido e da incoscienti.
Per farla breve: questo attacco ha successo per colpa degli utenti più che
per colpa di Microsoft. Chi è infetto se l'è cercata; ora non venga a
piangere da me.
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2003 by Paolo Attivissimo (www.attivissimo.net).
Distribuzione non commerciale libera, purché riporti la presente dicitura.
Per distribuzione commerciale, contattare l'autore (topone@pobox.com).
Se ti piace quello che leggi, fallo sapere in giro, e mandami un po' di
focaccia!
Questa newsletter viene distribuita gratuitamente e senza pubblicità grazie
a Peacelink.it;
è e sarà sempre gratuita, ma donazioni e sponsorizzazioni sono sempre ben
accette:
http://www.attivissimo.net/donazioni/donazioni.htm
-----------------------------------------------------------------------
Paolo Attivissimo Traduttore tecnico, divulgatore informatico
topone@pobox.com http://www.attivissimo.net
---------+---------+---------+---------+---------+---------+---------+--