Bin Laden è morto, ma è una beffa

Messaggi contenenti immagini della presunta morte di Bin Laden invadono la rete, ma contengono un virus nascosto
ROMA - Migliaia di messaggi internet sulla morte o la cattura di Osama Bin Laden riempiono da giorni indirizzi di posta elettronica e chat-rooms. La notizia, già di per sé di grande rilevanza, è comunicata in modo da suscitare l'interesse dell'ingenuo lettore e da fargli seguire il link contenuto nel testo. Questo infatti promette di svelare le immagini della morte (o della cattura) del terrorista.

VIRUS - Naturalmente si tratta di una notizia falsa, ma oltre all'inganno i messaggi nascondono un possibile pericolo per il pc del lettore: se si segue il link del testo si scarica automaticamente un virus che, oltre a registrare le informazioni contenute nel computer, lo manda in tilt.

hai il nome del virus???

C'è un virus informatico il cui nome è quello del terrorista islamico Osama Bin Laden. Lo ha rilevato per prima un'azienda sudcoreana che produce software antivirus. Il file infetto si chiama "binladen_brasil.exe", un nome che induce a ritenere che il worm possa essere di fabbricazione brasiliana. Secondo l'azienda sudcoreana proprio a Seoul si sarebbero registrati i primissimi casi di "infezione".

Ahnlab, l'azienda che ha "scoperto" il virus che attacca i sistemi Windows, ritiene che non si stia diffondendo molto e che non sia granché pericoloso. Tanto che la sua caratteristica più evidente sarebbe proprio quella di chiamarsi "Bin Laden". "Abbiamo ricevuto una segnalazione - ha spiegato Jin Yoon-jung, uno dei dirigenti dell'azienda - da un utente privato che ha ricevuto un'email che aveva il virus in allegato. Ma il suo computer non era infetto perché ci ha segnalato la cosa senza aprire l'email".

Da lì la diffusione del virus sarebbe aumentata in modo però non preoccupante, come hanno confermato ieri anche Trend Micro e Symantec, due dei maggiori produttori di software antivirus.

Secondo Jin, lo studio del virus avrebbe dimostrato che suo scopo principale sarebbe quello di diffondersi il più possibile, sebbene non rechi danni particolari al computer che aggredisce. E non ci sarebbero segnali capaci di indicare con chiarezza l'origine del worm.

Ad ogni modo, stando ad Ahnlab, che rappresenta comunque il maggior produttore antivirus sudcoreano, l'email infetta arriva con un subject che varia tra: "Bin Laden toilette paper!!", "Sadam Hussein & BinLaden IN LOVE" e "Is Osama Bin Laden BAD-LOVED?". L'allegato infetto si chiama, appunto, "BINLADEN_BRASIL.EXE" e il messaggio appare come inviato da "root@fun.com".

Symantec ha chiamato questo codicillo Toal avvertendo che il subject dell'email infetta può apparire in lingue diverse oltre a contenere un testo diverso ogni volta. Stando a Symantec, il worm sfrutta una vecchia vulnerabilità di Outlook e Outlook Express e tenta di auto-eseguirsi quando il messaggio che lo contiene viene aperto o visualizzato in preview. Ma per questa vulnerabilità da tempo Microsoft ha rilasciato una patch.

Symantec ha spiegato che il worm crea un file, "Invictus.dll", utilizzato per infettare file eseguibili che si trovino sul sistema. Una volta dentro, il worm crea anche una directory di condivisione sul disco C:. Va detto però che la dll in questione è già sfruttata da altri worm, dunque molti antivirus già sono in grado di bloccarne il funzionamento e rendere anche il worm Toal inefficace.

Oltre alla modalità di diffusione più comune, quella dell'auto-invio a tutti gli indirizzi della rubrica di Windows, Toal sfrutta anche le White Pages di ICQ per "rimediare" tonnellate di indirizzi degli utilizzatori del celebre sistema di instant messaging. Indirizzi ai quali fa poi pervenire copia di sé.

Va comunque segnalato che sia Trend Micro che Symantec considerano questo worm poco più che una curiosità, classificando il rischio e la diffusione al di sotto dei livelli di attenzione.