Questa non è uno dei tanti allarmi antivirus fasulli che circolano in Rete. Lo so che mi occupo di bufale, ma proprio per questo ho ottimi motivi per aver indagato e per ritenere che questo sia un problema reale e non un allarme ingiustificato.
[ZEUS News - www.zeusnews.it - 24-02-2002]
Se ricevete dal vostro provider (in genere da postmaster o da mailer-daemon) un e-mail che dice in inglese che un vostro messaggio a un utente è stato respinto, ma sapete di non aver mai mandato messaggi all'utente citato, DIFFIDATE. Se i messaggi indicano che c'è un allegato al messaggio, NON aprite l'allegato prima di un controllo antivirus. Meglio ancora, non apritelo del tutto.
Sospetto infatti sia un virus piuttosto astuto, che si spaccia per l'amministratore della posta del vostro provider nel tentativo di convincervi ad aprire un allegato pericoloso. L'indizio del fatto che è un falso è appunto che l'indirizzo citato come destinatario del messaggio non è fra quelli a cui avete mai scritto. Confusi? Spiego subito qui sotto.
Attenzione: non ho ancora trovato conferme, per cui prendete questo avviso con cautela, ma nel frattempo aumentate la normale dose di scetticismo. Valgono le regole di sempre: mai aprire un allegato, chiunque ne sia il mittente, senza controllo con un antivirus aggiornato. E non usate programmi insicuri che eseguono l'HTML annidato nella posta, come Outlook.
Ho ricevuto una dozzina di messaggi di questo genere:
-------------------------------------------------
Date: Fri, 22 Feb 2002 04:03:20 -0500 (EST)
From: MAILER-DAEMON@pobox.com (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: topone@pobox.com
This is the Postfix program at host granite.pobox.com.
The message below did not reach its final destination.
What happened exactly? Our mailserver granite.pobox.com accepted your message and tried to forward it to YUMANA @SINF.NET.
[bla bla]
------------------------------------------------------
Traduzione: salve, sono il programma automatico di smistamento della posta del tuo provider (nel mio caso, pobox.com). Ho tentato di mandare un tuo messaggio a un utente (in questo caso, yumana @sinf.net) ma non ci sono riuscito, per cui te lo restituisco insieme all'allegato che volevi mandare.
Peccato che tutto questo non è vero.
Infatti andando a scavare nei miei archivi ho scoperto di non aver mai mandato posta a quell'utente. Soprattutto, non ho mai mandato allegati come quello (un file .bat) che mi è stato "restituito".
In altre parole, il virus si spaccia per una figura autorevole e genera un messaggio assolutamente plausibile, inducendo quindi il destinatario ad aprirlo. Molto astuto.
Inoltre rivelando i codici nascosti nel messaggio salta fuori questa roba (i segni di maggiore e minore sono stati sostituiti da parentesi quadre):
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=EXAW9gld7b759o45cR
Message-Id: <20020222090318.0BF5B7DF14@granite.pobox.com>
Date: Fri, 22 Feb 2002 04:03:18 -0500 (EST)
Content-Type: text/html;
[x-html][HTML][HEAD][/HEAD][BODY]
[iframe src=cid:S6AT9cAy6w16vX height=0 width=0]
[/iframe]
[FONT][/FONT][/BODY][/HTML]
[/x-html]
Quell'iframe è secondo me un'istruzione molto sospetta, dato che se ho capito bene apre una finestra di altezza zero e larghezza zero (tipico comportamento da spyware o virus).
Tutto questo mi ha indotto inizialmente a sospettare che si trattasse di una nuova forma molto creativa di attacco virale, ma in realtà è soltanto la confezione a essere creativa e nuova, mentre il virus in sè è piuttosto vecchio: si chiama HTML.mimeExploit, risale ai primi del 2001 e viene già riconosciuto da tempo dai principali antivirus, come Vet e Inoculate-It. In breve, il virus agisce in questo modo: include nel messaggio un codice HTML che sfrutta una vecchia vulnerabilità di Internet Explorer (una delle tante), inducendo IE a eseguire automaticamente l'allegato.
Trovate la documentazione, e la patch per correggere questa vulnerabilità, presso il sito di Microsoft.
Ve lo dice sempre, zio Paolo, che usare Outlook e Internet Explorer fa male alla salute.
Se cercate alternative, provate Opera (www.opera.com) e Eudora (www.eudora.com). Meglio ancora, la vecchia versione di Eudora, quella del 1997 che uso io e che non interpreta l'HTML e quindi è immune a quasi tutti i virus che fregano Outlook, è disponibile gratuitamente su questa pagina di Zeus News. Scegliete la sezione Windows, l'area Software, e cliccate su Vai. Troverete il mio Eudora Light 3.06 (è gratuito e liberamente distribuibile).
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
|
|
(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.
|
||
|