Il primo virus giapponese di larga diffusione
Zircon.c, noto anche come W32.Impo.gen Worm_Fidao, I-Worm.Zircon (ed altri nomi tecnici), è un tipico virus di tipo worm che arriva nel nostro sistema per posta elettronica, come allegato di un messaggio da persona nota o sconosciuta. Il virus vero e proprio è un programma grande circa 12 KB, scritto in codice Assembler. Quest’ultimo è il linguaggio di programmazione usato una volta da tutti i programmatori di virus, ma oggi soppiantato da VBA ed altri sistemi di sviluppo molto più semplici da usare.
L’Assembler è un linguaggio che consente di realizzare programmi estremamente piccoli ed efficienti, ma richiede molta abilità da parte di chi lo usa. Tuttavia, Zircon è un virus dalla pericolosità molto ridotta e del tutto particolare. Sembrerebbe infatti più un esperimento da parte di un hacker che stava studiando appunto il linguaggio Assembler che un vero e proprio flagello potenziale per tutti gli utenti di posta elettronica.
Il virus arriva con soggetto “Importante” oppure in lingua giapponese (sono state contate sinora circa 17 varianti). Il corpo del messaggio è vuoto, mentre l’allegato si chiama PATCH.EXE. Se avviato con Esplora Risorse, o da qualunque programma di lettura di posta elettronica, il virus entra in azione.
Come detto, però, è davvero poco pericoloso. Innanzitutto, non si installa nel sistema. Il che però significa che se non viene intercettato dall’antivirus, può passare del tutto inosservato. Funziona infatti solo per una volta, e solo quando si esegue l’allegato PATCH.EXE. Forse è proprio questo il motivo della sua diffusione, che sembra molto rapida.
Il virus si diffonde leggendo la Rubrica di Outlook e usando il server Smtp di e-mail configurato per l’invio della posta elettronica per inviare a tutti i nominativi trovati nella rubrica una copia del messaggio vuoto con allegato se stesso. Se l’indirizzo del destinatario termina con la stringa .JP, il testo del soggetto del messaggio infettivo inviato sarà una frase in giapponese, altrimenti sarà “Important”. Non esegue nessuna altra operazione di disturbo, alterazione del sistema o distruzione di dati.
Il virus è riconosciuto e distrutto dai moderni antivirus, in genere se aggiornati a partire dal 14 marzo.
