Il virus troiano Goga sfrutta la scarsa sicurezza dei file Rtf

Grazie al limitato controllo sui file Rtf, il virus riesce a eludere il controllo automatico di Word sulle macro disabilitandolo.

In questi giorni, il centro di ricerca Kaspersky Labs ha segnalato
l'esistenza di un virus troiano, chiamato Goga, che può leggere e memorizzare le
password usate in un sistema per successivi usi impropri, e che si trasmette in
file in formato Rtf.


I file in formato Rtf sono spesso indicati come un sistema preferito
al classico Doc di Word. Non solo perché sono meglio standardizzati, e
quindi trasportabili più facilmente tra i diversi programmi di
videoscrittura o addirittura tra vari sistemi operativi, ma anche
perché l'Rtf

esclude certi automatismi di attivazione
tipici dei virus che si inseriscono nei documenti. A causa di quest'ultimo motivo, alcuni
antivirus non esaminavano questo tipo di file, ma solo i Doc.

Bisogna però precisare che questa
affermazione non è del tutto corretta e che oggi tutti gli antivirus esaminano
anche i file Rtf. Infatti, una delle prime versioni di Melissa usava un
semplice metodo per eludere il sistema di analisi degli scanner. L'estensione
Doc del file del documento veniva cambiata dal virus in Rtf;
il che consentiva al virus di entrare in azione, una volta caricato in Word.
Sebbene sia vero che un file Rtf vero e proprio sia più sicuro di un
file Doc

di Word, la
rinominazione dell'estensione non è l'unico sistema che può provocare problemi
di infezione.

Il 21 maggio 2001 Microsoft ha infatti ammesso un problema
di sicurezza che consente ai file Rtf
di comprendere un riferimento (link)
a un modello (template) di Word che avvii automaticamente il documento e
le macro che contiene. Ciò significa che la macro potrebbe completamente
eludere il sistema di verifica automatica presente in Word (quella che
richiede all'utente una conferma all'esecuzione quando si apre un documento che
contiene macro). La macro potrebbe così essere eseguita con gli stessi privilegi
dell'utente e quindi modificare le impostazioni di sicurezza contro l'esecuzione
senza autorizzazione delle macro stesse.

Il problema affligge Word 2000, Word 95, Word 98
per Windows e Word 98 e 2000 per Macintosh. Microsoft ha rilasciato recentemente un aggiornamento che
corregge il problema che si può trovare al'indirizzo:

http://www.microsoft.com/technet/security/bulletin/MS01%2D028.asp

.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here