In questi giorni si stanno diffondendo le ultime versioni del Worm che attacca i sistemi Microsoft. Gli antivirus aggiornati a dopo il 28 febbraio sono in grado di scongiurare il pericolo
7 marzo 2003 Lovgate nella sua forma originaria è un virus
noto sin dal 19 febbraio, piuttosto diffuso, ma proprio in questi giorni si
sono presentate due nuove varianti, definite Lovgate.C (o Supnot.b)
e Lovgate.D (Supnot.d), che hanno goduto anch’esse di una rapida
diffusione.
Sebbene le singole varianti di questo virus non risultino avere colpito un numero
particolarmente elevato di utenti, la somma delle segnalazioni di infezioni
pervenute ai centri di ricerche dei produttori di antivirus per le diverse specie
è tra le più elevate tra tutti i virus degli ultimi mesi.
Una caratteristica di questo tipo di Worm, che arriva per posta elettronica,
è la sua capacità di funzionare anche come “backdoor”.
Questo termine significa che il virus apre una porta di comunicazione di rete
verso il mondo esterno (da qui l’espressione “porta sul retro”).
A seconda della specie, possono essere aperte le porte di comunicazione
10168 e/o 1192. Ciò significa che dall’esterno, via Internet
o rete locale, l’autore del virus, o chiunque altro sappia come entrare da queste
porte, può virtualmente accedere a dati riservati sui computer infetti,
senza che l’utente del sistema infetto si accorga di nulla.
L’hacker che acceda tramite la backdoor offerta da Lovgate al sistema infetto
può controllarlo da Shell come se fosse seduto davanti alla sua
tastiera.
Il virus usa un motore Smtp interno per spedire copie di se stesso
a tutti i contatti reperiti sul computer ospite, leggendo gli indirizzi dalla
Rubrica di Windows e dai file presenti sui dischi locali. Il codice del virus
prepara i messaggi da spedire in modo variabile sia nel testo che nei contenuti,
usando un database interno di messaggi e soggetti in lingua inglese. Anche
il nome del file allegato è variabile, ma si tratta in ogni
caso di un file di programma con suffisso .Exe. (Source.Exe, Setup.exe, Roms.exe,
Docs.Exe e così via). La lunghezza dell’allegato, che contiene il virus,
oscilla tra i 41 e i 78 Kbyte circa. Se si esegue il file allegato, il virus
entra in azione. A seconda della variante, Lovgate è anche in grado di
copiarsi in modo automatico su tutti i dischi condivisi di una rete locale.
Alcune delle specie di questo virus colpiscono sistemi Windows Nt, 2000
o XP, mentre le nuove varianti sono adatte a tutte le versioni
di Windows, compresi quindi 95, 98 e Me. I più diffusi antivirus
commerciali, aggiornati dopo il 28 febbraio, sono in grado di neutralizzare
le e-mail contenenti le varianti di Lovgate al loro arrivo, prima che possano
essere eseguite sul computer ospite ed entrare quindi in azione.
