Le ultime varianti falsificano la firma dei prodotti antivirus
Il virus My Life è uno dei più diffusi da qualche tempo, anche in Italia, tanto che molti utenti e i sistemi antivirus hanno imparato a riconoscerlo ed evitarlo. Proprio per questo motivo, probabilmente, i soliti autori di epidemie informatiche si sono ingegnati nel proporlo in una forma ancora più subdola e ingannevole.
Infatti, alcune recenti varianti del virus arrivano come allegati di un messaggio di posta elettronica il cui testo recita qualcosa come
========= No viruses found ======
MCAFEE.COM
Ovviamente, la “firma” è falsa, nel senso che lo scopo è di fare credere che il messaggio di posta elettronica sia stato verificato alla spedizione da un noto software antivirus. In effetti, tali sistemi di verifica automatica della posta in uscita da aziende e grossi gruppi gestiti da server centralizzati esistono davvero.
Però, quando il messaggio è stato verificato realmente da uno di questi sistemi la “firma” è molto più completa. Essendo di solito software per server postali in lingua inglese, il messaggio riporta infatti come firma conclusiva qualcosa come:
“as of (data di spedizione) this message was scanned by (nome del software antivirus) and based on that date and the signature definition files and product version that were in use at that time, there did not appear to be any readily recognizable malicious code found within. Disclaimer: (nome del software antivirus) can only detect viruses for which the appropriate signature file has been created, distributed and properly implemented and even then only in file types for which (nome del software antivirus) has been pre-programmed to scan. Therefore, no guarantees can be made regarding the safety of this email or of the attached files, if any. Further, (nome del mittente) and (nome del produttore) assume no liability in the event that the email message or attached files, if any, should be infected with any virus, whether known or unknown.”
In pratica, per ovvi motivi legali, la firma di messaggi realmente verificati da un sistema antivirus è molto più lunga ed esaustiva, dovendo contenere chiare specifiche del software usato e che comunque non si garantisce totalmente che il messaggio sia esente da virus. La completezza della firma di questi software non viene di regola riportata nelle varianti del virus My Life sinora riscontrate, perciò occorre prestare la consueta cautela prima di aprire allegati.
Anzi, qualora ci dovesse arrivare un messaggio con una firma di verifica ”minima” come quella citata inizialmente, quasi sicuramente siamo in presenza di una variante di My Life, che potrebbe per giunta non essere riconosciuto se non abbiamo aggiornato il nostro sistema antivirus recentemente e/o se non abbiamo attivato la verifica automatica della posta in arrivo.
Più in generale, possiamo dire che, comunque, questi messaggi di certificazione non vanno tenuti in considerazione per due buoni motivi. Innanzitutto, un virus potrebbe comunque falsificare in modo più realistico la firma (basterebbe copiare il testo sopra riportato…). In secondo luogo, anche qualora il messaggio sia passato da un server postale dipartimentale o centralizzato dotato di verifica automatica antivirus, non possiamo essere certi che fosse aggiornato o in grado di riconoscere nuovi virus.
Vale dunque sempre la regola di aprire gli allegati dei messaggi solo se davvero necessario, solo se richiesti o attesi, e dopo averli verificati con un antivirus aggiornatissimo, tenuto in funzione anche durante l’apertura del messaggio. Diffidare particolarmente dai messaggi in lingua straniera con allegati, soprattutto se provenienti da persone che non usano quella lingua abitualmente: in questo caso l’allegato è quasi sicuramente uno degli innumerevoli virus che si spediscono a tutti i mittenti nella rubrica di Windows ad insaputa del possessore del sistema infetto, che ovviamente è persona che conosciamo e che ci invia ogni tanto e-mail.
