3 dicembre 2001
Aggiornato: 4 agosto 2003
Poiché il fenomeno si sta verificando con frequenza crescente credo che sia opportuno fare un po' di chiarezza circa i cosiddetti "virus" che vengono trasmessi tramite "attachment" a messaggi di posta elettronica.
Per la precisione si tratta di eventi più propriamente chiamati "troian horse", ovvero cavalli di Troia, piuttosto che di virus, ma ho utilizzato il termine virus perché maggiormente usato.
Informazioni più approfondite sui vari tipi di attacco, sulla terminologia, etc. possono essere trovate seguendo i link riportati nel paragrafo Link utili.
Maggiori dettagli sui meccanismi di trasmissione e ricezione dei messaggi di posta elettronica e dei relativi meccanismi di contraffazione sono contenuti qui.
Come si presentano
L'aspetto è quello di un normale messaggio di posta elettronica
proveniente da un indirizzo conosciuto o comunque esistente. Il
messaggio di solito contiene frasi tratte da messaggi effettivamente ricevuti
o inviati dal soggetto contagiato, e quindi
coerenti e talvolta addirittura riconoscibili come sicuramente scritte
dal mittente. Ecco alcuni
esempi.
Uno dei modi più semplici per riconoscere messaggi di questo tipo consiste nel verificare l'header completo del messaggio. Tale header viene normalmente nascosto dai programmi per la visualizzazione della posta elettronica, ma può essere visualizzato scegliendo l'opzione opportuna del programma (per istruzioni vedere qui). L'header contiene informazioni relative alla fonte di provenienza reale del messaggio. Ecco un esempio:
Normalmente l'header viene mostrato cosí:
Date: Mon, 15 Jul 2002 11:45:50 +0200 (CEST) From: Luca Fini <lfini@arcetri.astro.it> To: <support@arcetri.astro.it> Subject: Informazioni in attachment |
Sembra a prima vista un messaggio inviato da lfini@arcetri.astro.it all'indirizzo support@arcetri.astro.it. Vediamo però l'header completo:
Received: from butterfly.sissa.it (butterfly.sissa.it [147.122.1.137])
by hercules.arcetri.astro.it (8.12.2/8.12.2) with ESMTP id g6F9jmMs007464
for <support@arcetri.astro.it>; Mon, 15 Jul 2002 11:45:50 +0200 (CEST)
Received: from AFRICA (pc-44.adm.sissa.it [147.122.56.144])
by butterfly.sissa.it (8.11.3/8.11.3/SISSA 1.3) with SMTP id g6F9jfh02946
for <support@arcetri.astro.it>; Mon, 15 Jul 2002 11:45:41 +0200
Date: Mon, 15 Jul 2002 11:45:50 +0200 (CEST)
From: Luca Fini <lfini@arcetri.astro.it>
To: <support@arcetri.astro.it>
Subject: Informazioni in attachment
Message-ID: <200207150945.g6F9jfh02946@butterfly.sissa.it>
MIME-Version: 1.0
Content-Type: MULTIPART/MIXED; BOUNDARY="8323328-609979923-1059984796=:4447"
|
La prima linea "Received" mostra chiaramente che c'è qualcosa che non va, infatti il messaggio dichiara come indirizzo di provenienza lfini@arcetri.astro.it ma il messaggio viene effettivamente ricevuto dall'indirizzo: 147.122.1.137 che corrisponde a butterfly.sissa.it (Nota: in molti casi compare solo il numero IP perchè questo non corrisponde ad alcun nome conosciuto).
L'anomalia consiste nel fatto che il messaggio non proviene da uno degli indirizzi della rete di Arcetri.
Ogni volta che la provenienza dichiarata nel campo "From:" è diversa da quella che compare nel primo dei campi "Received:", il messaggio è da considerare fortemente sospetto.
I messaggi con virus hanno invariabilmente un attachment che ne costituisce il vero scopo: si tratta infatti di un programma eseguibile destinato a compiere l'azione dannosa.
Spesso l'attachment è dichiarato di tipo "JPG", "GIF" o "WAV" e sembra quindi un immmagine, un file sonoro o una animazione, ma è in effetti un programma eseguibile.
Nota: I files eseguibili sono di vari tipi, non solo quindi i files *.EXE, ma anche: *.COM, *.VBS, *.BAT, *.PIF, *.SCR, ed altri.I messaggi di questo tipo sono solitamente riconoscibili perché "fuori contesto": il testo è più o meno incongruo, nessun attachment di tale tipo è atteso da quel particolare mittente, ecc. È bene tenere presente però che i "costruttori" di virus fanno il massimo sforzo per renderli credibili.
Come agiscono
Tutti i programmi di questo tipo fin'ora segnalati sono mirati a
sistemi Windows ed alcuni di essi utilizzano problemi noti di Outlook e
Outlook Express. La tecnica è però facilmente applicabile
a tutti i sistemi operativi ed a tutti i programmi di posta
elettronica; nessuno può quindi ritenersi immune solo
perché usa un dato sistema operativo o un dato browser di posta
elettronica. In particolare qualunque browser di posta elettronica consente
di lanciare un programma inviato come attachment.
Per entrare in funzione il programma inviato come attachment deve essere mandato in esecuzione; Ciò può avvenire volontariamente (è il caso più frequente) perché il ricevente effettivamente impartisce un comando di esecuzione o "clicca" sull'icona ritenendo che si tratti di un programma innocuo, oppure involontariamente.
Nota: I nomi dei file di attachment sono studiati per trarre in inganno. Ad esempio il nome può essere del tipo: "IMAGE.GIF .EXE", che ha apparentemente una estensione .GIF ma in realtà termina per .EXE anche se la cosa sfugge perché il nome contiene una lunga sequenza di spazi e la vera estensione finisce fuori dallo schermo. Recentemente ho ricevuto un mail con un attachment di nome www.yahoo.com. È evidente che il nome è studiato in modo che sembri un link al noto sito Yahoo, mentre è in effetti un nome di file che termina per .COM e quindi che viene mandato in esecuzione con un "click".In alcuni casi il programma Outlook Express può essere configurato in modo da ignorare il tipo di attachment dichiarato ed invece basarsi su una analisi indipendente del file per decidere l'azione; quindi un attachment può essere dichiarato di tipo GIF, ma contenere invece codice eseguibile che viene riconosciuto e mandato in esecuzione "cliccando" sull'icona.
Infine alcuni virus riescono a sfruttare "bug" (errori) nel programma di visualizzazione della posta elettronica, normalmente legati a qualche funzione "automatica" (ad esempio le funzioni di "anteprima" di immagini allegate al messaggio). In questo caso il virus può essere eseguito anche automaticamente.
La maggior parte dei virus che sfruttano errori di questo tipo agiscono solo se si usano alcune versioni di Outlook ed Outlook Express. Presso il sito Web della Microsoft sono disponibili le informazioni relative alle versioni vulnerabili e le "patch" per correggere l'errore.
Quello che accade in seguito all'esecuzione varia da caso a caso. Nei casi più frequenti il programma scrive sul monitor un messaggio di errore ed apparentemente fallisce, invece rimane attivo indefinitamente (nonché viene rilanciato ad ogni bootstrap) ed invia messaggi agli indirizzi trovati nell'indirizzario, componendoli utilizzando brani di messaggi trovati nei folder. Ad ogni messaggio è ovviamente allegata una copia del programma, con vari nomi di fantasia. In qualche caso viene invece mandato un messaggio prefissato, con una richiesta di aiuto o di consiglio.
Come evitarli
La prevenzione è la forma più importante di difesa, ed
anche quella meno onerosa.
L'uso di un antivirus rappresenta solitamente una buona protezione purché si tengano presenti due aspetti:
Nella maggior parte dei casi il virus entra in azione per una errata o inconsapevole manovra di chi lo riceve, quindi innanzitutto è importante conoscere bene il funzionamento del programma di posta elettronica che si usa. Occorre sapere come si presentano i vari tipi di attachment, come si fa per estrarli senza mandarli in esecuzione, come cancellarli, come verificare lo header, etc.
È anche assai importante disabilitare tutte le funzioni "automatiche", ad esempio quelle di "anteprima" che si trovano in alcuni programmi di posta elettronica (ad es.: Outlook). Anzi sarebbe assai consigliabile non utilizzare programmi di posta elettronica che consentano operazioni di tipo automatico.
Quando si riceve un messaggio "sospetto", la cosa migliore è ignorarlo e cancellarlo. È un rimedio semplice, economico e totalmente efficace.
Nota: In ogni caso è buona norma avvertire il corrispondente di aver ricevuto il probabile virus in modo che ne sia almeno consapevole. Occorre però tenere presente che l'indirizzo di provenienza può essere contraffatto e che quindi non è detto che il mittente dichiarato sia quello effettivo.
Se proprio non si può fare a meno di resistere alla curiosità è bene, prima di mandare in esecuzione il programma, attenersi alle seguenti regole:
Come verificare l'avvenuta infezione ed eliminarla
Anche se un antivirus può fallire nel riconoscimento del programma
estratto dall'attachment, dovrebbe essere invece in grado di verificare
la presenza dell'infezione dopo che è avvenuta. Una scansione di
tutto il disco dovrebbe quindi consentire di rivelarne la presenza.
Se il messaggio rimane in qualche folder (cartella) è abbastanza facile riconoscerlo (si veda anche l'appendice 1), ma occorre tenere presente che il messaggio potrebbe essere arrivato tempo addietro ed essere stato cancellato e dimenticato.
Inoltre, poichè una delle azioni più comuni dei virus consiste nel replicarsi inviando messaggi con attachments agli indirizzi trovati sul PC infettato, prima o poi qualcuno dei corrispondenti abituali finirà per avvertire (magari con tono seccato) di aver ricevuto un messaggio con virus.
Non appena si ha il sospetto dell'avvenuta infezione occorre immediatamente scollegare il PC dalla rete in modo da impedire che continui ad inviare i messaggi di "contagio" e non ricollegarlo fino a che il problema non sia sicuramente risolto.
In molti casi un antivirus recente dovrebbe riuscire ad individuare e eliminare il virus. Tuttavia occorre tenere presente che questa operazione non da garanzia assoluta anche perché alcuni virus sono dotati di un meccanismo di "mutazione" rapida per aggirare i meccanismi di riconoscimento.
In qualche caso l'unico modo per eliminare il problema consiste nel cancellare totalmente il contenuto dei dischi e reinstallare da zero il sistema operativo. Si tratta ovviamente di una operazione estrema, altamente indesiderabile e che rende chiaro come sia importante la prevenzione.
Cosa fare quando ci segnalano che un nostro messaggio contiene un virus
Prima di tutto conviene verificare chi ha inviato la segnalazione.
Se si tratta di una persona conviene contattarla e chiederle di verificare nell'header del messaggio che questo provenga effettivamente dal proprio PC e che non si tratti di un caso di indirizzo del mittente contraffatto.
Se si tratta di un sistema automatico, conviene verificare con maggior cura che la segnalazione sia corretta; in molti casi, infatti, i sistemi automatici inviano un messaggio di avviso all'indirizzo che trovano nel campo "From". Come abbiamo visto, però, tale campo può essere contraffatto e quindi accade sovente che l'avviso arrivi a qualcuno che non ha niente a che fare con il virus. Più in dettaglio:
Ovviamente può accadere che il vostro PC sia effettivamente stato contagiato da un virus, e ciò potrebbe essere verificato facilmente purché sia disponibile (al solito) l'header completo del messaggio con il presunto virus. Normalmente i messaggi automatici includono l'header del messaggio (altrimenti sarebbero del tutto inutili).
Se nell'header, in uno dei campi "Received" compare come provenienza il numero IP del vostro PC (ovvero, nel caso di PC nella rete di Arcetri, un numero del tipo 193.206.154.x, oppure 193.206.155.x), avete con tutta probabilità contratto davvero il virus e dovete procedere immediatamente all'eliminazione.