Uno dei più sofisticati Worm realizzati, che diffonde nostre informazioni riservate
Un virus in rapidissima espansione, tanto che alcuni produttori di antivirus come Symantec lo hanno inserito nella categoria dei virus più pericolosi.
W32.Lirva.C@mm, questo il nome tecnico, è un worm che si diffonde attraverso i sistemi Irc, Icq e Kazaa e reti condivise aperte. Esiste in diverse varianti, una già nota ma meno diffusa era chiamata W32.Lirva.A@mm. Tenta di disattivare i programmi di firewall e gli antivirus di vari produttore ed è in grado di inviare informazioni riservate, come ad esempio le password di connessione e le liste dei contatti, memorizzate nei sistemi Windows 95, 98 e Me all’autore del virus.
Il virus colpisce i sistemi Windows 95, 98, Nt, 2000, Me, Xp ma non i sistemi Macintosh, Os/2, Unix e Linux.
Quando il messaggio infettivo arriva ad un sistema di lettura Microsoft Outlook può sfruttare un noto problema di sicurezza, corretto con gli aggiornamenti Microsoft più recenti, che fa eseguire in modo automatico il codice del virus allegato, senza bisogno che l’utente apra file allegati.
Il Worm è in parte “a tempo”, infatti solo nei giorni 7, 11 e 24 del mese avvia automaticamente il browser Web alla pagina www.avrillavigne.com e mostra una animazione grafica sul desktop di Windows.
Uno dei motivi della diffusione del virus è dovuta alla sua estrema variabilità, che lo rende sfuggente e non immediatamente riconoscibile in base al soggetto o all’allegato. Infatti, il soggetto dell’email e il nome dell’allegato possono essere creati dal virus scegliendo tra circa una ventina di possibili testi per ciascuno dei due elementi, dando origine a messaggi apparentemente credibili che provengono apparentemente da persone note (che hanno il nostro nome nei Contatti di Windows).
Il messaggio infatti viene inviato per email ad altri utenti prelevati dalla rubrica dei contatti del sistema infettato e da altri file di riferimento, come ad esempio file di Outlook, Html ma anche altri file presenti nel sistema. La costante è che il file allegato al messaggio è lungo 34815 bytes.
Quando il virus viene eseguito, disattiva tutti i processi (circa un’ottantina) che possono corrispondere a sistemi antivirus e firewall noti. Poi si copia in diverse cartelle di Windows e crea dei file Html per attivare il browser alle scadenze dette, infine modifica il Registry di Windows in modo da attivarsi automaticamente ad ogni esecuzione di Windows. Inoltre crea degli script di connessione automatica ai sistemi Icq, mIrc e Kazaa, inviando in alcuni casi i contatti memorizzati dall’utente nel programma. Poi si collega ad un sito Internet e preleva una variante del virus BackOrifice e lo attiva.
Per evitare di contrarre questo virus, si consiglia come sempre di usare regolarmente un programma antivirus aggiornato che verifica la posta in entrata. Inoltre, bisognerebbe disattivare i servizi non necessari nel nostro sistema, come ad esempio Web Server, Ftp Server e Telnet Server, spesso non utilizzati ma lasciati attivi nel nostro sistema. Inoltre sai consiglia di proteggere con password i file riservati.
Inoltre si consiglia di usare regolarmente il sistema di aggiornamento Microsoft Windows Update, che può correggere i problemi di sicurezza noti sfruttati da molti virus come Lirva.
