Si attiva cliccando sul collegamento presente in un allegato Html a una mail. Non si propaga attraverso la rubrica di Outlook ma è altamente dannoso per il sistema
Offensive è un virus di tipo troiano decisamente inusuale. Viene trasferito
per posta elettronica come un innocuo riferimento a una pagina di Internet,
tramite un allegato in formato Html. Quando si clicca questo riferimento in
sistemi dotati di browser Microsoft Internet Explorer (non aggiornati) si avvia
il virus che corrompe gravemente il Registry di Windows, rendendo il sistema in
alcuni casi inutilizzabile.
Quando si è colpiti da questo virus, vengono segnalati all’avviamento errori
nel Registry ed errori di sistema. Inoltre, vengono modificate le pagine di
partenza di Internet Explorer ed eliminate alcune icone. Il virus può non solo
essere inviato per e-mail, ma anche essere presente in pagine Html (di regola,
non quelle di società e organizzazioni note, ma per esempio in siti illegali o
“pirata”): in questo caso è sufficiente cliccare un pulsante sulla pagina per
ativarlo.
Precisiamo che questo virus non si diffonde in modo automatico, come è
consuetudine di tutte le forme più recenti, usando la rubrica dei contatti del
nostro programma di posta elettronica. Questo, pur riducendone
drasticamente la possibilità di diffusione, non ne limita la pericolosità, dato
che gli utenti non sono avvertiti che cliccando un semplice riferimento Html si
può innescare un virus.
Il problema deriva da un noto difetto di sicurezza della Microsoft Java
Virtual Machine, che Microsoft ha pubblicato con tanto di patch di correzione
sin dall’ottobre 2000. Il virus è in effetti un Javascript che, contrariamente a
quanto dovrebbe essere consentito, può eseguire codice maligno all’insaputa
dell’utente, in questo caso modificando il Registry. Ricordiamo che il Registry
è il database dei sistemi Windows che contiene i parametri di configurazione di
tutti i software e gli hardware installati, oltre che del sistema operativo
stesso.
Offensive modifica le associazioni, memorizzate nel Registry, per i tipi di
file Exe, Reg, Htm, Html, Inf,
Dll, Ini, Sys, Com, Bat e
Txt (questi ultimi vengono interpretati da Windows come programmi
eseguibili, generando errori quando si clicca due volte sulle loro icone).
Inoltre, alcune delle modifiche apportate al Registry comprendono offese al
governo e alla popolazione giapponese. Infatti, si ritiene, anche per altri
motivi, che il virus sia di provenienza giapponese.
Se si usa un sistema Internet Explorer/Outlook aggiornati con gli ultimi
patch o con quanto riportato all’indirizzo http://support.microsoft.com/support/kb/articles/Q275/6/09.ASP del
sito Microsoft, il virus non può entrare in azione. Si noti che il problema di
sicurezza è presente nelle versioni 3.0-5.5 Service Pack 1 del browser, ma
dovrebbe essere assente nella recente versione 5.5 Service Pack 2 del pacchetto
Microsoft Internet Explorer. In caso di dubbi, si consiglia di installare
l’aggiornamento prelevabile dal link citato nel documento Microsoft alla pagina
appena riportata.
Per ripristinare il sistema dai danneggiamenti del Registry, oltre a
reinstallare da zero il sistema operativo, si può avviare il sistema da floppy
disk (per esempio, quello di “ripristino” creato durante l’installazione di
Windows), e usare il comando da prompt di Ms Dos:
SCANREG /FIX
Per tentare la riparazione. Oppure, il comando
SCANREG /RESTORE
che presenterà una lista dei backup del Registry, consentendo di ripristinare
una versione precedente a quella dell’infezione, se disponibile.
