Un virus anziano, che non arriva per posta, ma ancora molto diffuso
La gran parte delle segnalazioni di nuovi virus riguarda specie nuove. Quasi sempre, negli ultimi tempi, si tratta di virus di posta elettronica.
I motivi sono semplici: la posta elettronica è ormai molto diffusa, ed è il metodo più veloce per distribuire file. Le tecniche usate dagli autori dei virus, come ad esempio l’invio automatico del virus alle persone conosciute dal possessore del computer infetto, facilita la loro diffusione. E si tratta di segnalazioni di virus nuovi sia perché questi possono usare tecniche più evolute per eludere il controllo degli antivirus, sia perché non tutti gli utenti che si proteggono con software antivirus hanno la buona abitudine di aggiornarli, dunque i nuovi virus possono non essere riconosciuti.
Tuttavia, almeno secondo uno dei maggiori produttori mondiali di software antivirus, proprio nei primi giorni di gennaio 2002 si è assistito ad una recrudescenza della diffusione W95/CIH.1003, noto anche come Chernobyl.
Il che è decisamente insolito: si tratta di un virus creato nel giugno del 1998 e che non si diffonde per posta elettronica. Infatti, può essere attivato solo eseguendo un file di programma infetto, ovvero è un virus “troiano”.
E’ stato scritto in Asia ed ha almeno tre varianti, due delle quali manifestamente diffuse.
Funziona in maniera molto sofisticata. Quando è attivato, è in grado di infettare tutti i file di programma di Windows, copiando parti del suo codice in quelle dei file di programma, sfruttando gli spazi vuoti (cosa comune nei file di Windows).
Il tipo di danneggiamento al sistema apportato dal virus è piuttosto grave. Oltre a infettare tutti i file di programma dei dischi del computer ospite, in una certa data tenta di cancellare la memoria del Bios del computer. La memoria Bios, lo ricordiamo, è quella piccola parte di memoria alimentata da una batteria sulla scheda madre (per funzionare anche in mancanza di corrente elettrica) che conserva i dati essenziali al sistema per funzionare. Ad esempio, le caratteristiche dei dischi rigidi installati, la configurazione delle porte di comunicazione, la data e l’ora, il tipo di processore e la sua frequenza di lavoro e molto altro. La cancellazione del Bios rende il computer inutilizzabile ed occorre ricorrere ad un esperto per riconfigurarne le caratteristiche e poterlo utilizzare nuovamente.
Il soprannome “Chernobyl” dato ad uno dei ceppi di questo virus è un chiaro riferimento al disastro avvenuto nella centrale atomica russa, occorso anch’esso il giorno 26 (del mese di giugno 1986). Le versioni 1003 e 1010 di Chernobyl entrano in azione però il 26 aprile, mentre la versione 1019 entra in funzione il 26 di ogni mese.
Il virus è riconosciuto e eliminato dal 1998 dagli antivirus. Il ritorno della sua diffusione può solo significare che vi sono moltissime persone che avviano programmi (infetti), provenienti da Internet, floppy disk o cd rom di altre persone, oppure da reti interne, senza prima controllarli con antivirus.
