[Prec. per data] [Succ. per data] [Prec. per argomento] [Succ. per argomento] [Indice per data] [Indice per argomento]

Le verità sul virus. Ovvero cosa c'entra Bill Gates, George Bush e la globalizzazione

Salve a tutt*,

Kazuhiro Imamura, Giovedì, 29 novembre 2001 ore 13:41:17 +0900
ha scritto a tutt* in "Risposta sensata al virus"
 >      Che ne pensate?  Alla sicurezza della lista, ci teniamo tutti, vero?
 >E la sicurezza non viene regalata dal cielo.
 >
 >Sicurezza esteriore ed interiore.

Concordo con Kazuchiro.
Il testo che riporto l'ho scritto per un'altra lista che gestisco come
owner dove da tempo ho disabilitato l'opzione di invio files proprio per
una questione sicurezza. Ovviamente questo non significa automaticamente 
essere al riparo e credo che non ci sia metafora più sensata in questo
momento di quella che dimostra che, esattamente come per la guerra, la
sicurezza che tutti invocano non può più passare per restrizioni e
limitazioni. Serve costruire un'alternativa e visto che questa è una lista
a tema sulla pace spero che vi si colga l'occasione per un ripensamento
anche delle abitudini telematiche che per tanti di voi significa
l'imposizione di UN sistema operativo, di UN programma per navigare, di UN
programma per la posta elettronica.
Faccio presente, inoltre, che la marina americana, tanto per rimanere sul
tema guerra, utilizza Linux e non certo Windows. Come mai? Perché sono
militari e perché devono fare una guerra per uccidere ed uccidere bene e
non possono mica permettersi che un "errore fatale" del sistema gli faccia
sballare il puntamento di un obiettivo. Del resto, si sa, gli effetti
collaterali sono solo un invenzione linguistica di chi ha perso la propria
coscienza sul campo di battaglia.

Un altro mondo è possibile? Se ci crediamo davvero cominciamo anche da qui.
Primo dicembre: giornata italiana del software libero
http://www.linux.t

M.

La rete italiana da 4 o 5 giorni è infestata dall'ultimissmo
virus "W32.Badtrans.B@mm" (di seguito vi posto tutta l'informativa di punto
informatico).


==> Chi è la potenziale vittima?

CHIUNQUE utilizzi microsoft windows come sistema operativo e outlook
express come programma per scaricare la posta



==> Come funziona?

Pesca gli indirizzi dalla posta in archivio e si autospedisce con un
messaggio appartemente vuoto, un allegato infetto, un soggetto tipo "Re:
qualcosa" e l'indirizzo del mittente originario con un underscore (questo:
"_") davanti. Se io fossi infetto sarebbe, ad esempio,
"_marco.trotta at inwind.it" Per questo motivo nessun'altra mailing list con
un mailer settato decentemente (su quelli di yahoo non metto mano visto che
dipendono dalle quotazioni in borsa, ma dalle prime verifiche vedo che
reggono) potrebbe comunque veicolare questo virus quand'anche fosse
abilitata agli allegati per il semplice motivo che ricevendo a vostra
insaputa una email con un campo mittente leggermente diverso (per
l'underscore davanti) dovrebbe rigettarla. Dovrebbe, appunto. 


==> Come faccio a sapere se sono infetto?

L'underscore davanti è la trovata che serve a fare in modo che, le email
delle/dei disattent* che replicano al vostro messaggio senza controllare la
correttezza dell'indirizzo del destinatario (sempre quel "_" all'inizio) o
le email che rimbalzano perché il destinatario ha problemi (sconosciuto o
posta piena) non vi giungano. Per tutti gli altri virus dopo un po'
l'utente si rendeva conto di essere infetto perché avvisato dagli altri
utenti o perché tornavano indietro messaggi che non aveva mai spedito. Qui
in teoria un utente davvero sprovveduto potrebbe non scoprire mai che è
stato infettato.
Il trucchetto è auspedirsi una email al proprio indirizzo, lasciarla nella
mailbox dei messaggi ricevuti e attendere. Se vi giunge una email con le
caratteristiche di cui sopra e un destinatario formato dal vostro indirizzo
con un "_" davanti, allora... benvenut* nel club Badtrans !!!

Altri indizi:
1. Nel registro di configurazione di Windows (apribile tramite AVVIO -
   ESEGUI - regedit) c'e' la seguente voce:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32.exe
2. Nella directory C:\Windows\System c'e' il seguente file: kdll.dll



==> Che nomi hanno gli allegati infetti?

HUMOR;  DOCS; S3MSONG; ME_NUDE; CARD; SEARCHURL;
YOU_ARE_FAT!; NEWS_DOC; IMAGES; PICS.

Ogni nome di file è seguito da due estensioni. La prima è a
scelta:.DOC;.MP3 oppure.ZIP. La seconda è.pif o.scr. (dunque:
CARD.DOC.PIF, NEWS_DOC.MP3.SCR eccetera).

ATTENZIONE: può darsi che non vedrai la seconda estensione per un
impostazione di windows. Questo non significa che non sia un file allegato
infetto ed eseguibile pur avendo esplicitamente solo estensione .DOC, .MP3,
....ZIP

Tra le altre cose il virus può avere delle varianti e queste sono
indicazioni del tutto sommarie.




==> Ma se non clicco sull'allegato non può succedermi nulla, giusto?

Sbagliato: sei hai outlook sappi che ha la pessima abitudine, per un errore
interno, di mandare in esecuzione files senza il tuo permesso. Quindi basta
ricevere la mail infetta per essere colpiti. Se si è ancora in tempo c'è
una patch (un programmino che risolve il baco di outlook una volta
lanciato). Occorre innanzitutto accertarsi
di quale versione di Internet Explorer si dispone: aprite Internet
Explorer, poi il menu "?", e poi "Informazioni su Internet Explorer".

Se avete la versione 5.5, cliccate qui:

http://download.microsoft.com/download/ie55sp1/secpac17/5.5_SP1/WIN98Me/it/q290108.exe

Se avete la versione 5.01, cliccate qui:

http://download.microsoft.com/download/ie501sp1/secpac17/5.01_SP1/WIN98/it/q290108.exe

Dopo aver scaricato il file sul vostro pc, fateci doppio click sopra, e
installate l'aggiornamento. Se il vostro Internet Explorer era gia'
aggiornato, si aprira' una finestra con un messaggio del tipo: "Non
e' necessario installare l'aggiornamento".

ATTENZIONE: però questo significa che corregge l'errore per il quale ci si
infetta senza volerlo e saperlo (ovvero senza cliccare esplicitamente
sull'allegato). Non significa che si è immuni dal vius se attivato
direttamente.




==> Oh My God, sono infett*, Santo Norton aiutami tu....
    (ovvero come dice il ministro Sirchia - clone di SirCam? - vuoi guarire?
     Paga !!!)

Allo stato attuale non c'è nessun programmino scaricabile gratuitamente che
si adoperi come un removal tool (ovvero dandoti la possibilità di debellare
il virus pur non avendo un antivirus installato). Se ti sei infettat* ed
avevi l'antivirus probabilmente non era aggiornato e come soluzione
d'emergenza la cosa più rapida da fare è fare l'aggiornamento che in molti
casi è già possibile. Ad ogni modo bisognerà attendere ancora diversi
giorni perché nel frattempo TUTTE le case produttrici di antivirus tirino
fuori un removal tool perché nel dubbio e nel panico preferiscono indurvi
a spendere dalle 100Mlire alle 300Mlire per acquistare un loro prodotto e
salvarvi anima ed hard disk. Dopo? Vedremo. Volete un consiglio sull'antivirus?
Potrei dirvi Norton, ma non ci prendo una lira a fargli pubblicità e così
siete caldamente invitati a passare al punto dopo.



==> Background politico. Come ti infetto il mondo e la passo liscia
    (ovvero Very compliments, Bill - Thanks for All, George)

Siamo alle solite. ILoveYou, hacker Petronio o islamico che sia, potete
anche scommettere che se non è stasera, forse tra qualche giorno qualche TG a
scelta di quelli che si distinguono per imparzialità e autorevolezza delle
fonti (ad esempio il TG2 di Mimun, il Tg4 di Fede o Studio Aperto di Paolo
"Livore" Liguori) metteranno da parte guerra e finanziaria  per annunciare
la nuova ecatombe informatica caduta sulla coscienza al silicio
dell'occidente (e spero proprio che la vergogna locale, leggesi Resto Del
Carlino, non trovi legami a me sconosciuti tra Badtrans e Al Queda). Forse.
D'altra parte quello che si tace, tra ignoranza e malafede, è nell'ordine:
a) che si dice che tutta la comunità informatica è minacciata quando le
circostanze tecniche per l'infezione sono discriminanti chiare e circoscritte
b) che basta che venga meno una di quelle, ovvero usare un sistema
operativo non windows o un programma di posta elettronica non outlook
express (cose possibili, e neanche tanto eccezionali, se uno ha un computer
Apple, usa Linux/unix, o semplicemente manda a quel paese Outlook per
installare Eudora), per risolvere il problema o quanto meno essere molto
più sicuri..

La verità è che non si vuole parlare del monopolio di Bill Gates e della
Microsoft. Il paradosso più compiuto ed esplicito della dittatura
neoliberista che ormai non riesce più a sopravvivere neanche a se stessa. E
così, in attesa del prossimo "errore fatale" su schermata blu (modello
forza italia, a propo', avete notato come il palco di roma del 10 con le
due bandierine avesse un fondale mostruosamente simile alla schermata
d'avvio di Windows? Sarà per questo che gli è andata in vacca la
manifestazione?), un intero settore aspetta le magnifiche sorti progressive
di Windows XP per risanare i bilanci di rosso delle dot com e delle
speculazioni pirata (quelle sì, altro che hacker !!!) compiute in borsa in
questi anni.
Tutto chiaro, quindi, ma la politica dov'è? Eccola: Bill Gates finisce
sotto processo per sospetta violazione delle norme antitrust (affare
"guerra dei browser", 4 anni fa) una delle prime cose che succede al cambio
di amministrazione è che il nuovo ufficio rivede l'ingiunzione verso il
magnate di Seattle accordandosi per una soluzione per niente compromettente
rispetto all'attuale posizione di monopolio (inizialmente si era pensato
perfino allo smembramento di Microsoft) tanto che Re William Gates III
dichiarerà "Finalmente una sentenza giusta". Ah, questi liberisti, ce
l'hanno proprio come vizio, appena la giustizia si dimostra subalterna ne
pontificano l'imparzialità... solo che Gates non aveva bisogno di diventare
presidente del Consiglio per fare i suoi interessi perché sapeva di poter
contare su Bush. Ovvero? Una volta di più, si è sancito che gli interessi
di Microsoft sono gli interessi USA tout court (vi ricorda qualcosa di old
economy come l'esito del processo antitrust alla Ford sessant'anni orsono?).
Standing ovation: parte l'inno Gates bless America.



==> Morale: siamo tutti americani e winzofili?
    (ovvero un altro sviluppo informatico è possibile... e non solo quello)

Ve la faccio breve: il primo dicembre c'è il linux day, ovvero un progetto
nato come alternativa ad una concezione "only profit" dell'informatica e
delle nuove tecnologie, con tutto quello che significa in termini di libero
accesso ai saperi (brevetti), redistribuzione dei vantaggi sociali
dell'innovazione tecnologia, riappropriazione del general intellect non più
delegato ai meccanismi di sfruttamento della concezione imprenditoriale di
stampo neoliberista e tanto altro ancora. Il movimento, pur complessato dal
digital divide al suo interno (e non poteva essere diversamente), ha
portato avanti anche queste tematiche che sono d'avanguardia, forse, ma
decisamente strategiche e centrali come metafora della lotta alla
globalizzazione dell'impoverimento sociale, ambientale e culturale.

Il mio consiglio e di provare ad avvicinarvi a questi temi con lo stesso
spirito per il quale c'è una generale ridefinizione di tutto lo sviluppo
sociale ed economico, con il quale si sceglie uno stile di vita sobrio,
prodotti equo e solidali (perché l'informatica è un'industria anche di
economia di scala), con il quale si rivendicano i nuovi diritti civili e
giuridici, alla privacy (ora che i pc non sono più macchine per calcolare
formule quantistiche ma anche per smistare corrispondenza privata), alla
sicurezza sociale, all'informazione, ecc.

Il primo dicembre, per il Linux Day, anche in Emilia Romagna ci saranno
dimostrazioni gratuite e non profit, il programma lo trovate qui:
http://erlug.linux.it/linuxday/
La pagina nazionale è su: http://www.linux.it

Un gruppo di questo tipo è già nato nel BSF (ed ha anche una mailing list:
http://prometeo.aglorioso.com/cgi-bin/mailman/listinfo/bsf) e vuole portare
in via fioravanti esperienze concrete, capacità reali ed un impegno di
giustizia che penso possa dimostrare cose molto importanti.

E allora: volete rimanere in balia di Bill, Bush e Badtrans oppure
cominciamo a costruire un altro mondo possibile anche da qui?

M.

--
  "E arrivan chi sa dove per non pagar le tasse,
   col ghigno e l'ignoranza dei primi della classe."  (F. Guccini)




_[Ripostato da: Punto Informatico - http://www.punto-informatico.it ]_____
 [http://www.punto-informatico.it/p.asp?i=38203]




Virus/ Badtrans non ferma la sua corsa
A quattro giorni dalla scoperta del worm, il codicillo non accenna a
rallentare la velocità epidemica. Sale la preoccupazione, appelli agli
utenti


Un worm sottovalutato?

28/11/01 - News - Roma - Pare proprio che MessageLabs avesse visto lungo
quando, l'altro ieri, aveva avvertito che l'epidemia di Badtrans sui
sistemi Windows avrebbe potuto andare ben più in là del temuto. Proprio
ieri pomeriggio, infatti, anche Symantec ha innalzato a livello 4 la soglia
di attenzione per un worm che si sta producendo in una cavalcata di
diffusione che ricorda da vicino quanto accadde in tempi recenti con SirCam.

Già, perché fino a ieri si riteneva che Badtrans, emerso sabato scorso,
avrebbe seguito la curva di diffusione della stragrande maggioranza dei
worm, con infezioni diffuse soprattutto nelle prime 48 ore dall'infezione.
Ma non è stato così. Con la riapertura degli uffici il lunedì mattina in
Europa (ma segnalazioni arrivano anche dal nord e dal sud America), il worm
ha trovato terreno fertile per crescere e moltiplicarsi ed ha quindi
accresciuto la propria onda d'urto.

Una delle ragioni di quanto sta accadendo risiede nelle modalità di
diffusione del virus, che nella versione più diffusa si presenta con un
allegato capace di auto-eseguirsi all'apertura del messaggio di posta
elettronica che lo contiene. Ma questo avviene, ben inteso, solo sulle
macchine di quegli utenti che utilizzano sistemi di preview del messaggio
prima della sua apertura o, nel caso dell'uso di Outlook e Outlook Express,
non abbiano applicato patch disponibili già da mesi in rete. Non solo,
chiunque disponga di un buon antivirus aggiornato nelle scorse ore dovrebbe
trovarsi al sicuro da qualsiasi rischio di infezione.

Un altro aspetto caratteristico del worm che rende più difficile il suo
"blocco" è la modifica che compie sugli indirizzi email dai quali viene
diffuso. Quando una macchina viene infettata, infatti, tende a spedire una
copia di Badtrans a tutti gli indirizzi che si trovano sul computer. Ma
l'indirizzo mittente del messaggio non è quello dell'utente colpito dal
worm perché a questo viene premesso un underscore "_". Questo fa sì che se
si risponde a chi ha inviato il virus per avvertirlo di quanto ha combinato
e non si toglie l'underscore dall'indirizzo, l'email non viene recapitata e
dunque l'avvertimento non raggiunge la sua meta.

Non contento, il worm si presenta in messaggi che hanno per subject
soltanto "Re:" e chi riceve molti messaggi di posta elettronica può
facilmente sbagliare e avviare senza volere l'attività del virus.

Mentre scriviamo, Symantec dà la diffusione del virus come al livello più
alto degli ultimi tempi con l'eccezione, come detto, di quanto ha combinato
nella sua prima settimana di attività il celebre e ancora diffuso SirCam.

E alla redazione di Punto Informatico arrivano numerose segnalazioni di
utenti che affermano di avere le mailbox addirittura intasate da questo
virus.

L'epidemia di Badtrans arriva, tra l'altro, in un momento reso ancora più
delicato dalla rapidissima evoluzione di un altro worm, Aliz, che secondo
gli osservatori antivirus sta conoscendo una nuova spirale di espansione
epidemica. I labs di Symantec, i SARC, addirittura pongono la diffusione di
Aliz allo stesso livello di quella di Badtrans. Un livello che non viene
sposato da altri produttori antivirus ma che comunque induce alla massima
prudenza nella gestione della posta elettronica in queste ore.

Di seguito come funziona il worm Badtrans e cosa fare per difendersi. 


"W32.Badtrans.B@mm" sta dimostrando in queste ore di essere un codicillo
che non va sottovalutato.

Riconoscere l'email in arrivo con Badtrans prima versione non è difficile,
perché il nome dell'allegato infetto è uguale al subject dell'email.
Symantec nei suoi bollettini si limita a segnalare l'attività di questa
versione del worm e, come già spiegato sul numero di ieri, avverte che il
subject e il nome dell'attachment sono presi da una lista predefinita di
termini: HUMOR; DOCS; S3MSONG; ME_NUDE; CARD; SEARCHURL; YOU_ARE_FAT!;
NEWS_DOC; IMAGES; PICS. Ogni nome di file è seguito da due estensioni. La
prima è a scelta:.DOC;.MP3 oppure.ZIP. La seconda è.pif o.scr. (dunque:
CARD.DOC.PIF, NEWS_DOC.MP3.SCR eccetera). La dimensione di questi allegati
è di 29,02 kilobyte.

La seconda versione, quella che sembrerebbe essere la più diffusa anche in
Italia, è invece pensata per ingannare l'utente inserendo come subject solo
"Re:" con un allegato che in totale pesa 40,3 KB. Sarebbe questa la
versione responsabile, secondo MessageLabs, dell'ulteriore diffusione del
worm la cui presenza viene segnalata in 98 paesi, a testimoniare l'enorme
capacità di riproduzione.

Una volta attivato il worm su sistemi Windows, Badtrans esegue una serie di
istruzioni che sono contenute nel suo codice che, come noto, comprende
anche un cavallo di Troia capace di registrare in un file di log tutti i
pulsanti premuti sulla tastiera.
Nell'ordine: registra tutti i testi digitati su windows, cifra il log,
invia il file di log ad uno degli indirizzi inseriti nel codice, invia le
password che si trovano in cache, chiude il sistema ad un'ora prestabilita,
si inserisce in Windows con il nome di un file di registro (kernel32.exe),
usa quello stesso nome come percorso per copiare i propri dati e infila due
chiavi nel registro di Windows.

Se si venisse colpiti dal virus, la prima cosa da fare è cancellare o
rinominare il file "kernel32.exe" (attenzione: non "kernel32.dll" che è
legittimo) in, per esempio, "kernel32.old" in modo da renderlo inattivo. Da
cercare e distruggere è anche il file KDLL.DLL, che contiene il cavallo di
Troia che archivia nel file "CP_25389.NLS" nella directory di sistema di
Windows il log con la registrazione dei tasti premuti sulla tastiera (che
viene poi inviata ad un indirizzo di Hotmail). Entrambi i file potrebbero
non essere modificabili perché in esecuzione. Va dunque prima rimossa la
chiave di registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Kernel32 = kernel32.exe

Poi, riavviato il sistema, si può procedere alla distruzione dei file.

Il codice trojan che viene infilato nel sistema viene classificato dalla
danese F-Secure come "Trojan.PSW.Hooker" (qui una pagina descrittiva).

Una volta rimossi i file infetti, con il proprio antivirus occorre eseguire
una scansione per individuare e cancellare tutti i file che contengono
"W32.Badtrans.B@mm".

In generale Symantec consiglia di:
- Impostare i sistemi di filtraggio delle email aziendali per bloccare
tutte le email con le estensioni.scr e.pif
- non aprire e-mail con oggetti corrispondenti ai nomi riportati;
- distruggere tutti i file riconosciuti come W32.Badtrans.B@mm;
- rimuovere e cancellare tutti gli allegati con le estensioni sopra riportate;
- aggiornare le definizioni dei virus.

Per ulteriori info può risultare utile approfondire sul sito del SARC, qui.  


__________________________________________________________________________