Allarme ExploreZip

I frequentatori del Word Wide Web sono stati scossi da una vera e propria ondata di panico quando ExploreZip (noto anche come Worm.ExploreZip o W32\ExploreZip.Worm), il virus più pericoloso mai realizzato, ha cominciato a mietere vittime illustri negli Stati Uniti. Dalla Network Associates, la più importante casa di software antivirus al mondo, sono arrivate le prime allarmanti statistiche sulle sue micidiali potenzialità: oltre trenta dei suoi grandi clienti, cioè le aziende con oltre 70 mila computer, hanno riportato seri incidenti, mentre una decina di società è addirittura stata costretta a interrompere completamente i servizi delle network. La stessa software-house statunitense ha dichiarato di aver registrato, nella sola giornata di sabato 12 giugno, oltre 3,2 milioni di download dei propri prodotti, mentre la sua assistenza clienti è stata costretta a gestire durante il week-end un volume di chiamate ben quattro volte superiore alla norma. Il National Infrastructure Protection Center (http://www.fbi.gov/nipc/index.htm) dell’Fbi, visto lo stato di emergenza, ha pubblicato sulle proprie pagine Web un appello (http://www.fbi.gov/nipc/zipworm.htm) che invita tutti gli utenti abituali della posta elettronica a fare particolare attenzione, nei prossimi giorni, a messaggi inusuali recapitati nella propria casella.

Ma quali sono le caratteristiche di questo nuovo maligno programma capace da solo di mettere in ginocchio persino i grandi colossi economici americani? Come si diffonde? E soprattutto come si può contrastare? ExploreZip è stato scoperto il 6 giugno scorso in Israele. Si tratta di un virus nato, come si dice in gergo, “in the wild”, cioè sviluppato fuori da ambienti di studio e di ricerca. Immediatamente è stato inviato al Symantec Antivirus Research Center, una struttura dedita all’analisi dei virus gestita da un’altra grande industria del settore, ma prima ancora che si trovasse un antidoto, ExploreZip si era già diffuso in tutto il Nord America.

Esso infatti opera sui sistemi operativi Microsoft Windows a 32bit, installati sul 90% dei computer del mondo. E alle potenzialità di un Trojan virus – che finge di essere innocuo ma in realtà distrugge i dati contenuti nel vostro Pc – aggiunge quelle di un Worm, che non è in grado di infettare o distruggere altri programmi, ma può riprodursi in modo vertiginoso attraverso le reti, fino a causare il blocco delle macchine ospiti e dei server. Scritto in Delphi, un linguaggio di programmazione raramente utilizzato dai virus writer, ExploreZip danneggia tutti i file creati con Microsoft Word, Excel e PowerPoint (estensioni .doc, .xls e .ppt), nonché quelli scritti in linguaggio Assembler, C++ e C (estensioni .asm, .cpp, .h e .c), rendendoli inutilizzabili e difficilmente recuperabili.

Il principale bersaglio sembrano proprio le applicazioni Microsoft, ma il fatto che il virus distrugga anche i file creati in Assembler, in C e in C++ sembra essere il vezzo di chi vuole sì mantenere l’anonimato, ma allo stesso tempo cerca il riconoscimento indiretto all’interno di un gruppo. E’ proprio per questo che gli investigatori dell’Fbi, cercando di identificare il “padre” di ExploreZip, hanno cominciato a tenere sott’occhio i gruppi di discussione su Internet dedicati a questo metodo di programmazione.

Se non si lavora all’interno di una rete aziendale con risorse condivise, il virus si diffonde attraverso i programmi di posta elettronica come Outlook, Outlook Express o Exchange, tutti basati su Mapi (Messaging Application Programming Interface). In pratica, ExploreZip si finge un vostro corrispondente: arriva un messaggio inviato da qualcuno che da poco ha ricevuto una vostra e-mail e che è l’inconsapevole portatore del virus. Assicura di aver ricevuto la vostra comunicazione e vi chiede di dare un’occhiata a dei documenti allegati, raccolti nell’unico file ZIPPED_FILES.EXE. Chi esegue è perduto: apparirà una maschera di errore nel quale si avverte che è impossibile aprire il file, mentre il virus avrà iniziato contemporaneamente la sua oscura attività.

Innanzitutto crea una copia di se stesso in un file chiamato EXPLORE.EXE (lo inserisce nella cartella windows\system in Windows 95 e 98, mentre in Windows NT lo copia nella cartella winnt\system32) e modifica il sistema operativo affinché a ogni riavvio tale file venga caricato in memoria. Poi comincia a danneggiare i file sul disco rigido o su altre unità eventualmente mappate (in pratica, fa una ricerca nelle Risorse del Computer dalla lettera C fino alla Z). Ma non è tutto. Il virus verifica se il computer è collegato a una rete locale e inizia a cercare un varco attraverso cui continuare a propagare l’infezione.

Ma anche dal virus più nefasto ci si può difendere. Innanzi tutto “vaccinando” il proprio computer, dato che le principali case produttrici di antivirus hanno già preparato un antidoto per sconfiggere ExploreZip e aggiornare tempestivamente le difese immunitarie. Comunque, qualsiasi virus per entrare in azione deve essere prima attivato: anche se arriva un messaggio di posta elettronica al quale è allegato un virus, esso non entrerà in azione finché il file non sarà lanciato. Quindi: fidarsi solo dei file allegati alle e-mail di provenienza certa e sicura. Nel caso di ExploreZip, per esempio, il finto messaggio elettronico arriva solo in inglese, almeno per ora. Se il corrispondente a cui avete scritto è italiano ma vi risponde in inglese, il messaggio è a rischio. Ma le cose potrebbero cambiare. Infatti l’Fbi teme che i siti hacker stiano diffondendo il codice del virus: aperto, visibile e disponibile ad essere modificato. E nulla vieta che qualche fanatico virus writer italiano decida di realizzarne una versione apposita per il nostro paese.