“Network Associates ha scoperto una nuova minaccia per i sistemi di tutto il mondo. Chiamato Remote Explorer, e stato definito dalla societ` statunitense il primo virus “”intelligente””, in grado di propagarsi sulla rete installandosi da solo su un server Nt.”
Remote Explorer è il nome che Network Associates ha dato a un nuovo e
potente virus che è stato identificato per la prima volta sulla rete
nordamericana di Mci WorldCom, cui avrebbe causato un blocco totale di
circa dieci minuti. Network Associates, in realtà, non ha rivelato il nome
del proprio cliente cui è effettivamente occorso il danno, affermando solo
che si tratta di una società delle Fortune 100. Ma, dopo le prime
indiscrezioni la diretta interessata ha ammesso l’attacco, negando,
peraltro, che fosse la causa del temporaneo blocco, comunque documentato.
Può sembrare poco, ma non lo è, soprattutto considerando i milioni persi
dal carrier americano in quei "pochi" minuti e il fatto che i tempi di
reazione di una struttura del genere sono stati rapidissimi. Ma il nocciolo
della questione è un altro si tratta, infatti, di un virus molto
sofisticato, come dimostra, indirettamente, la sua dimensione: 120 Kb. I
virus più diffusi normalmente vanno dai 2 agli 8 Kb.
Scritto in C, Remote Explorer denuncia una tecnica che non può essere
ricondotta a "scherzosi" hacker, ma che molti analisti e vari tecnici hanno
attribuito a un team con elevate competenze, tanto in quel linguaggio di
programmazione che nell’architettura delle grandi reti aziendali. Il virus,
infatti, sembra in grado di propagarsi da solo su reti Windows Nt.
All’interno di Mci WorldCom ha attaccato dieci sotto reti, infettando da
100 a 1.000 pc in ciascuna di esse. Rilevatane la presenza giovedì scorso,
Network Associates è riuscita a identificarlo ieri, avendo lavorato tutto
il weekend in stretta collaborazione con i tecnici Microsoft. Remote
Explorer, che pare riesca ad attaccare solo le macchine Windows Nt a base
Intel mentre operano in modalità di gestione, ha effetti devastanti. Il
virus, infatti, comprime i file di programma eseguibili, rendendoli
inutilizzabili e criptografa i file di dati (in particolare i ".doc" e
".xlf"), impedendone di fatto l’accesso da parte degli utenti. A detta dei
tecnici Microsoft una volta "aggiustati" i sistemi, dati e programmi
dovrebbero essere recuperati senza danni, come ha confermato un portavoce
di Network Associates, che ha posto una soluzione e un detector del virus
sul proprio sito (www.nai.com), includendolo anche in VirusScan 4.0 (che
sarà gratuito per i clienti di Network Associates).
In attesa di scaricare, eventualmente, il detector è bene tenere sotto
controllo la propria rete. Per verificare se Remote Explorer l’ha attaccata
bisogna cercare un servizio chiamato appunto Remote Explorer che gira sui
server Nt. Per farlo ci si deve collegare ai server effettuando un login da
amministratore di sistema e utilizzare il pannello di controllo. Poiché tr
a
i file infettati figurano anche "ie403r.sys" o "tskmgr.sys", anche
cancellandoli questi si reinstallano. é, pertanto, necessario riavviare la
macchina con un disco di sistema "pulito".
Il virus non può autopropagarsi su Internet, ma, secondo Gene Hodges, vice
presidente di Network Associates, può attraversare la Rete via e-mail,
magari infettando file attached. Hodges stesso ha confermato che la
soluzione sarà gratuita per i clienti della società, mentre agli altri s
arà
fornita gratis una copia di valutazione del detector. Se si vorrà il
cleaner, però, si dovrà pagare.
Difficile valutare effettivamente la minaccia di Remote Explorer senza
avere sotto mano il codice, considerando che da un lato Network Associates
ha interesse a esagerarne le conseguenze e Mci WorldCom, per contro, a
minimizzarle. La casa che produce VirusScan ha dichiarato che metterà
quanto prima a disposizione (anche ai propri concorrenti) il codice del
virus, per consentirne lo studio. Intanto, Symantec e Trend Micro, due dei
principali concorrenti di Network Associates, hanno affermato che nessuno
dei propri clienti ha rilevato un virus del genere.
