Cazinat, un pericoloso virus che parla italiano

Se ricevete un messaggio di posta elettronica con oggetto del tipo “Screen Saver Canapa” che propone un salva schermo che riguarda l’uso della canapa tra i giovani d’oggi, non tentate di usare l’allegato: è un virus denominato W32.Cazinat. Il testo del …

Se ricevete un messaggio di posta elettronica con oggetto del tipo “Screen Saver Canapa” che propone un salva schermo che riguarda l’uso della canapa tra i giovani d’oggi, non tentate di usare l’allegato: è un virus denominato W32.Cazinat.

Il testo del messaggio di posta elettronica, che può arrivare da persona nota, è di questo tipo:


Buongiorno, il nostro Staff le ha allegato uno screen saver
riguardante l' uso della canapa tra i giovani d'oggi.
Questo contiene molte informazioni che è bene conoscere, soprattutto
se non si fa uso di tale sostanza!
Se è favorevole alla legalizzazione della canapa(non droga)
faccia notizia espandendo quest' email ai suoi amici e colleghi.

Staff di Servizio abbonati.

Gentile abbonato, lo r ti regala un grazioso screen saver come da te richiesto.
Se non vuoi ricevere più i nostri screen saver inviaci una e-mail vuota.

Per accedere direttamente al nostro sito clicca sul link che segue: 
http://...link ad un sito...

Come si nota, diversamente dalla quasi totalità dei virus che arrivano per posta elettronica, Cazinat parla italiano ed è per questo particolarmente pericoloso, dato che molti utenti diffidano da testi in inglese ricevuti da corrispondenti italiani. Tuttavia, se ricevuti da un conoscente, con il testo in italiano, molti potrebbero essere invogliati ad aprirlo e, difatti, pare che il virus sia in rapida diffusione.

Allegato al messaggio troviamo un file chiamato:

Canapa.scr

Come suggerisce il suffisso, ed il testo del messaggio sopra riportato, è (apparentemente) un salva schermo, lungo 185.145 oppure 61.440 bytes, secondo la versione del virus. Quando si avvia l’allegato, scegliendo ad esempio di “aprire” il file dopo avere cliccato sulla graffetta della finestra di lettura di Outlook, viene in effetti eseguito il virus. Si memorizza nella cartella Windows\system del nostro sistema con i nomi Canapa.scr e Norton.exe, alterando poi il Registro di Windows in modo da entrare in funzione ad ogni avviamento del sistema operativo.

Il lato dannoso di Cazinat è che riscrive tutti i file con suffisso .exe, .scr, .pif e .com che trova nella cartella principale del disco C. Poi analizza tutti i file Html presenti sullo stesso drive e recupera tutti gli indirizzi di posta elettronica citati in questi file. La lista dei file viene memorizzata in un file temporaneo, chiamato “Contact-e-mai.ini”, nella cartella dei file temporanei di Windows. Tale file viene usato dal virus stesso per inviare una copia del messaggio e del suo codice a più persone possibili. Si noti che, diversamente dal solito, non viene usata la rubrica di Windows, ma solo gli indirizzi ricavati dai file Html trovati nel drive C.

Curiosamente, il virus ha un effetto collaterale. Contiene un allegato che è un file autodecompattante creato con Winzip. Quando eseguito, viene scritto un file chiamato

How to fix xp for sp1 service pack.txt

Nè il file di testo, né il codice di auto decompattazione di questo file contengono però codice virulento.

Il virus dovrebbe essere intercettato dagli antivirus aggiornati dopo il 29-30 settembre 2002.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome