Perrun, il primo virus che infetta i Jpeg

Il primo virus per file Jpeg, poco pericoloso ma originale

Sebbene i produttori di antivirus che l’hanno scoperto gli abbiano assegnato un basso rischio di pericolosità, W32/Perrun è sicuramente un virus particolare, essendo il primo infettore di file grafici in formato Jpeg.

Precisiamo subito che il virus vero e proprio arriva come file eseguibile.

Infatti, i file Jpeg in quanto tali non sono eseguibili (come i file Exe, Vbs, Com, Bat e così via), ma vanno letti con appositi programmi di visualizzazione, pertanto non potrebbero eseguire autonomamente istruzioni di programma, come un vero virus sempre richiede.

Infatti, quello che viene usato come veicolo di infezione è un file eseguibile (Exe) di 11.780 bytes. Si noti che, a differenza di quanto ormai standard per quasi tutti i virus recenti, questo non si diffonde automaticamente per posta elettronica o in pagine Web. Deve essere pertanto appositamente e volutamente spedito per posta elettronica da qualcuno, oppure distribuito volutamente come programma tramite gruppi di dialogo.

Questo ne riduce drasticamente la diffusione, proprio per la peculiarità del virus, che non è portato a diffondersi da solo verso altri sistemi.

Quando viene eseguito, installa un programma chiamato Extrk.exe di 5636 bytes nella directory corrente e modifica il Registry di Windows per usare questo file come programma standard di apertura dei file Jpeg.
In effetti, una variante dello stesso virus usa lo stesso meccanismo per inserirsi nei file di testo, con suffisso.Txt. In questo caso, assegna come programma standard di apertura di questi file il programma Textrk.exe. Il virus installa uno o l’altro programma, per file Jpeg o Txt, a seconda della variante del virus (ne esistono infatti 2).
Ogni file aperto conterrà circa 11 KB di dati supplementari, venendo per così dire “infettato”, ma nel senso che ne viene alterata la struttura, non che il file grafico (o di testo) diventa un virus se utilizzato (ovvero, visualizzato o letto).

Il contenuto “infetto” dei file che altera non serve però a diffonderlo in altri computer (come detto, sarebbe impossibile, proprio per la funzionalità dei file grafici Jpeg e di testo Txt, che vengono letti e non eseguiti).

Però nel sistema infetto la lunghezza dei file cresce di circa 11 KB. Il danneggiamento consiste nel fatto che i dati originalmente contenuti nel file Jpeg non sono estraibili se nel sistema non è presente, nella cartella System, il file Shimgvw.dll. Invece i dati contenuti nei file di testo infettati non sono estraibili se non si dispone del programma standard Notepad.exe nel computer infetto.

In altre parole, diffondendo un file “infettato” dal virus, questo risulterà semplicemente non visualizzabile in un sistema non infetto e non vi provocherà comunque “infezioni”.

Il virus è in grado di funzionare in tutte le versioni di Windows (dalla 3.x a XP, compresi 2000, Nt e Me). L’unico danno effettivamente arrecato è dunque l’allungamento dei file Txt o Jpeg e l’illeggibilità di questi ultimi se si elimina il file Shimgvw.dll dal sistema infetto. Non altera dati e non modifica né distrugge alcun altro tipo di file.

Il virus è catalogato attualmente come estremamente poco diffuso.Il che è attendibile essendo privo di ogni automatismo per la diffusione autonoma verso altri computer, ma è comunque riconosciuto da molti antivirus commerciali aggiornati dopo il 18 giugno.

Il pericolo maggiore è che si diffonda un immotivato timore, causato dall’approssimazione e dall’inesperienza degli utenti e di molti veicoli di informazione, che visualizzando un normale file Jpeg si possa contrarre un virus perché esiste un virus “per i file Jpeg” (come ci è già capitato di sentire dire da un “esperto di sicurezza” di un importante società…).

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome