In grado di attivarsi anche senza aprire il file allegato alla posta, è già molto diffuso
Scoperto il 16 maggio 2002, merita un livello di attenzione piuttosto elevato tra i produttori di antivirus, essendo già piuttosto diffuso in tutto il mondo.
Chiamato tecnicamente W32.Hedong.A o Worm.Donghe.A, è un classico virus di posta elettronica, che utilizza il sistema Smtp del computer infettato per inviarsi per e-mail ad altre potenziali vittime.
La diffusione del virus è ormai tipica. Per posta elettronica, di solito da persona a noi nota, arriva un messaggio con file allegato chiamato Hello.Exe o Hello.Vbs. Il primo è un vero e proprio programma eseguibile, lungo 49152 bytes. Il secondo è un applicativo Visual Basic Script, lungo 2301 bytes. Se si avviano questi programmi, aprendo l’allegato, il virus entra in azione. Cancella tutti i file con suffisso Exe, Dll, Dat, Doc e Mp3 del disco locale e di tutti i dischi mappati nel sistema, ovvero anche nelle unità di rete.
Inoltre, come accennato, legge la rubrica dei contatti di Outlook, ovvero la Rubrica di Windows, e invia un messaggio casuale con allegato una copia del virus stesso, ovvero Hello.Vbs oppure Hello.Exe, scegliendo tra questi due file a seconda dell’orario. Per la precisione, se l’ora del sistema infetto è divisibile per tre, invia Hello.exe, altrimenti invia Hello.vbs.
Il messaggio infettivo spedito dal virus contiene nel campo “Da” dei caratteri casuali seguiti da un simbolo @ e dalla stringa che segue l’indirizzo del server di Smtp (posta in uscita) configurato nel nostro sistema. Ad esempio, se abbiamo configurato qualcosa come “smtp.01net.it”, il mittente del messaggio sarà qualcosa di casuale terminante comunque con @01net.it. Il campo “A” del messaggio spedito per propagare l’infezione sarà costruito alla stessa maniera, mentr il soggetto del messaggio sarà un testo casuale in lingua cinese. Inoltre, la pagina iniziale di Internet Explorer sarà cambiata dall’attuale all’indirizzo www.hzieee.edu.cn.
Ci si può chiedere come mai gode già di tanta diffusione, allora, dato che il testo in cinese dovrebbe insospettire molti utenti e evitare che eseguano il file del virus. Il motivo è che il virus crea per il messaggio da spedire una intestazione in grado di sfruttare un problema di sicurezza di Outlook noto da qualche tempo, che consente di avviare il codice allegato al messaggio anche senza che l’utente che lo riceve debba aprire ed eseguire il file allegato.
Ovviamente, se disponiamo di un sistema Outlook aggiornato con i patch ai problemi di sicurezza disponibili, ad esempio, sul servizio Windows Update di Microsoft, in virus non entrerà in azione automaticamente, ma si dovrà eseguire esplicitamente il file allegato.
Ricordiamo che è molto importante avere sempre le più recenti versioni dei programmi di lettura della posta elettronica Outlook Express (attualmente alla versione 6) e aggiornare con il servizio gratuito Windows Update (http://windowsupdate.microsoft.com) i problemi di sicurezza degli applicativi Microsoft e del sistema operativo proprio per evitare anche questi pericolosi problemi di virus che si attivano automaticamente appena arrivano nel nostro sistema.
