Un nuovo virus in circolazione che si fa passare per un’email inviata da Microsoft

NetworkProvider e servizi Internet

Le società produttrici di antivirus avvertono di stare in guardia da un mass-mailing worm il cui mittente sembrerebbe support@microsoft.com.

Il virus, chiamato W32.HLLW.Mankx@mm (Symantec), W32/Palyh@MM (McAfee), W32/Palyh-A (Sophos), I-Worm.Palyh (KAV), WORM_PALYH.A (Trend), Win32.Palyh.A (CA) si diffonde attraverso liste di indirizzi e-mail e reti aziendali. Ha la capacità di diffondersi tramite la semplice pressione di un tasto, introducendosi abusivamente nei programmi e tentando di bloccare/disattivare gli antivirus e i programmi di firewall. Il worm utilizza un proprio engine STMP per autotrasmettersi via email a tutti i contatti identificati nei file contrassegnati dalle seguenti estensioni: .wab, .dbx, .htm, .html, .eml, .txt; mentre il messaggio email sembra provenire dall”indirizzo support@microsoft.com. Tra i sistemi soggetti a questo worm figurano Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP e Windows ME. Il worm si diffonde anche tramite tutte le risorse di rete copiandosi all”interno delle seguenti cartelle su tutte le risorse condivise. Il messaggio giunge con una serie di diversi «oggetti» ma l’allegato non deve essere aperto: altrimenti il virus si copia in una cartella di Windows e comincia ad autoinviarsi a tutti gli indirizzi che trova sul computer in questione. Secondo gli esperti il virus è attualmente attivo in almeno 69 paesi. I compilatori di virus sono costantemente alla ricerca di metodi per fregare inconsapevoli utenti e travestire un virus da messaggio proveniente da una delle software house più famose al mondo è l’ultimo di una serie di ben congegniati trucchi. Graham Cluley, Senior Technology Consultant di Sophos, spiega che il supporto tecnico di Microsoft non invia file in questo modo e gli utenti dovrebbero pensarci due volte prima di aprirli. Palyh è particolarmente intelligente perché, a differenza di molti suoi predecessori, basta poco per adescare le persone ad aprirlo. Per chi è inondato da email, aprire un allegato è automaico, dopo aver rapidamente controllato che il messaggio non generi sospetti. Il file può avere estensione .pif, che generalmente è poco familiare agli utenti. “Molti utenti consapevoli del fatto che i file con estensioni .exe o .vbs possono essere pericolosi non si rendono conto che i file .pif lo sono parimenti» aggiunge Cluley. Secondo MessageLabs, che per prima ha individuato il virus il 17 maggio, le prime copie infette provenivano dall’Olanda. Il Symantec Security Response ha segnalato di aver ricevuto, fino a oggi, 221 segnalazioni di cui 215 da consumatori privati e 6 da aziende. Fa rilevare che il virus dovrebbe disattivarsi da sé il 31 maggio 2003, lultimo giorno in cui potrà diffondersi sarebbe dunque il 30 maggio.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore