Attenzione alle cartoline che provengono dal sito BlueMountain. Contengono un Worm non distruttivo con funzioni di backdoor
11 aprile 2003 Se ricevete la classica segnalazione, in lingua
inglese, che qualcuno ha preparato per voi una “cartolina” sul noto sito
Internet BlueMountain e questa ha un allegato occorre fare molta attenzione. Se
l’allegato si chiama BlueMountaineCard.PIF non bisogna aprirlo, altrimenti si
incappa quasi sicuramente nel virus Cult.C.
Tale virus è un Worm non distruttivo, con funzioni di backdoor. In parole semplici, sebbene non cancelli file né rovini dati sul sistema infettato, comunque consente l’accesso al sistema infettato da parte di hacker, aprendo alcuni canali (porte) di comunicazione accessibili via rete.
Il formato del messaggio che il
virus invia dal sistema infetto è il seguente:
Soggetto: Hi, I sent you an eCard from
BlueMountain.com Testo: Hi , I sent you an eCard from Blue-Mountain.com
To view your eCard, open the attachment If you have any comments or questions,
please visit
http:/ /www.bluemountain.com/customer/index.pd Thanks for using BlueMountain.com.
Il messaggio ha come allegato il file BlueMountaineCard.PIF lungo 22016 bytes, che è il virus vero e proprio. Se si apre questo file, in sistemi Windows 9x, Me, 2000, Nt, XP, il virus entra in azione. Prepara il messaggio sopra citato e lo invia, usando un proprio motore di spedizione di posta, ad indirizzi di alcuni domini diffusi:
Email.com Earthlink.com RoarRunner.com Yahoo.com Msn.com Hotmail.com
In pratica, il comportamento è diverso dal solito: non vengono usati gli indirizzi della rubrica dei contatti del sistema infettato, ma generati degli indirizzi casuali per i sopra citati domini di posta elettronica. Ciò riduce la possibilità di infettare amici e conoscenti, ma comporta una elevatissima spedizione di messaggi, con conseguente sovraccarico della connessione Internet e del server postale del provider.
La sicurezza del sistema infettato è minacciata dal fatto che il virus comunica, via protocollo Irc, probabilmente al suo autore, alcuni parametri del sistema. Poi attende dei comandi attraverso una porta di comunicazione riservata allo scopo. Un hacker esperto può dunque accedere al nostro sistema ed eseguire alcune operazioni, come ad esempio attivare una spedizione di email, aggiornare il codice del virus, inviarlo usando altri canali Irc, reperire informazioni sul sistema infettato e prelevare o eseguire file presenti sui suoi dischi locali.
Come sempre, la raccomandazione è di non aprire alcun file
allegato ai messaggi di posta elettronica se non si usa un buon antivirus
residente che la verifichi e che sia regolarmente aggiornato. Diffidare
soprattutto dagli allegati dei messaggi in lingua inglese provenienti da
indirizzi sconosciuti oppure da persone che di solito usano un’altra lingua per
comunicare con noi.
