Nuovo virus Gibe simula un aggiornamento Microsoft

La prima copia di questo virus è stata intercettata il 23 febbraio in Australia, ma pare che si stia propagando rapidamente anche in Europa e Stati Uniti.

Il virus Gibe, in alcune forme, è già noto da tempo, ma questa è una nuova variante: arriva come messaggio di posta elettronica che suggerisce un aggiornamento di sicurezza (Security Patch) al sistema Windows da Microsoft.

Il virus è nuovissimo, pur ricalcando in parte codice infettivo già visto, infatti è stato individuato da server postali usando un motore euristico e non il database di definizioni dei virus noti. Alcuni esempi di soggetti del messaggio sono:

Fwd: Taste these security update from Microsoft
Microsoft Security Patch
Fw: Look at that correction update from Microsoft
FWD: Prove that security pack from Microsoft

Il testo del messaggio può contenere del testo in lingua inglese che invita ad installare un patch cumulative allegato al messaggio.

In realtà, l’allegato è il virus, scritto in linguaggio Microsoft Visual Basic e lungo ben 155,848 bytes. I nomi del file allegato possono essere ad esempio:

UPDATEnnnn.EXE
Qnnnnnn.EXE

Dove “nnnn” sono quattro o sei numeri casuali che imitano i caratteri effettivamente usati da Microsoft per denominare i file di aggiornamento della sicurezza.

Il virus, una volta entrato in azione, utilizza sia un servizio Smtp proprio che quello di Microsoft Outlook per inviare email con copie di se stesso. Gli indirizzi di spedizione vengono letti dalla rubrica di Windows e dai file di testo e Html presenti sul disco del computer ospite. Pare che il virus sia capace di distribuirsi anche attraverso connessioni locali e la rete IRC.

Come sempre il suggerimento è di non avviare mai programmi allegati alle email anche se provenienti da persone note, soprattutto se il testo del messaggio è in una lingua diversa da quella usata comunemente dal nostro interlocutore. Verificare sempre con un antivirus aggiornato la posta elettronica e gli allegati prima di utilizzarli.