Simula un aggiornamento Microsoft per migliorare la sicurezza, ma è un virus
Gibe, in rapida diffusione e collocato nella fascia dei virus più pericolosi da vari produttori di software antivirus, è un worm scritto in Visual Basic che arriva per posta elettronica come aggiornamento proveniente da Microsoft. L’eseguibile allegato al messaggio si chiama Q216309.exe, il che, come i più esperti sanno, ricorda effettivamente uno dei tanti aggiornamenti al sistema operativo della casa madre di Windows.
Per l’esattezza, il messaggio di posta del virus ha questa struttura:
Da: Microsoft Corporation Security Center
mailto:rdquest12@microsoft.com]
A: Microsoft Customer
Soggetto: Internet Security Update
Allegato: q216309.exe
Il testo del messaggio, in lingua inglese, descrive un problema di vulnerabilità del sistema ed invita a installare il file allegato per correggerlo.
Ricordiamo innanzitutto che questa non è la prassi seguita da Microsoft: gli aggiornamenti del sistema operativo e degli applicativi Microsoft non vengono mai inviati per posta elettronica, ma consigliati dal servizio Windows Update.
E’ chiaro che Microsoft non ha nulla a che fare con la diffusione di questo virus.
Se si esegue il programma allegato al messaggio, lungo circa 122 KB, appare un pannello di installazione intitolato “Microsoft Internet Tools Update” che richiede se procedere. In realtà, il virus è già entrato in azione alterando parecchi parametri del sistema operativo. Se si conferma con Yes alla comparsa del pannello, viene indicato in inglese che l’aggiornamento è stato eseguito. Se si clicca sul pulsante No, il Worm si installa lo stesso, senza mostrare finestre di dialogo.
Per propagarsi, Gibe legge la rubrica dei contatti di Windows, quella usata anche da Outlook ed invia una copia del messaggio con allegato infettivo a tutti i contatti trovati. Ma non si limita alla Rubrica, cercando indirizzi di posta anche negli indirizzi che trova in file Htm, Html, Asp e Php eventualmente presenti.
Gibe non danneggia i dati del disco fisso, ma installa una cosiddetta “backdoor”, ovvero un software che consente il controllo da remoto del nostro sistema. L’autore del virus, o altri hacker, possono dunque accedere alle risorse del nostro sistema (dischi, stampanti ecc.) quasi come se fossero seduti alla consolle del nostro computer, rubando file importanti, cancellando dati e così via.
E’ riconosciuto e eliminato dai moderni antivirus, in genere usando file di ricerca aggiornati dopo il 10 marzo 2002.
