|
All'origine di MyDoom
Come si diffonde il virus MyDoom?
Come agisce MyDoom nel computer?
Come scoprire l'infezione?
Istruzioni per Windows XP, Windows 2000, Windows NT4.0
Istruzioni se avete Windows 95, Windows 98, Windows ME
Verificate la presenza di MyDoom.A
Verificate la presenza di MyDoom.B
Strumenti per la rimozione del virus dal computer
All'origine di MyDoom
La recente “epidemia” scoppiata qualche giorno
fa e causata dal virus chiamato “MyDoom” è stata addirittura etichettata come la più devastante
mai esistita. Ed in effetti, a distanza di ormai diversi
giorni, dopo che tutti i più noti programmi AntiVirus
sono stati aggiornati al fine di debellare MyDoom, continuiamo
a ricevere quotidianamente decine di email di allarme o di
destinatari inesistenti o altro: tutta spazzatura che dobbiamo
eliminare manualmente e con un notevole dispendio di tempo.
Specifichiamo che questo virus, come tanti altri,
ha alcune "varianti" alle quali sono stati
attribuiti nomi diversi, che potrebbero essere considerati
addirittura dei "perfezionamenti" al virus di base
chiamato in origine "MyDoom", queste varianti si chiamano "MyDoom.A" e "MyDoom.B".
Varie testate nazionali ed internazionali hanno
riportato come "untori" iniziali dell'epidemia anche
malavitosi russi, ma non si può ancora escludere che
sia stato un semplice cittadino del mondo a preconfezionare
il tutto.
Come si diffonde il virus MyDoom?
La tecnica con il quale il virus si diffonde è la più elementare che esista: arriva un email,
probabilmente da un indirizzo "esistente" o quantomeno
"credibile", con in essa un file allegato,
tipicamente in formato compresso .ZIP (programma WinZip),
contenente il virus stesso. L'abitudine di tutti noi,
oltre alla curiosità è sempre quella di aprire
tutto quello che ci arriva, finendo così con l'autoinfettarci...
Gli antivirus possono proteggerci da tutto,
ma la protezione più efficace da sempre resta la conoscenza:
dobbiamo sempre saper distinguere quello che può danneggiarci
e quello che non può farlo, imparando alcune semplici
nozioni tecniche.
Come agisce MyDoom nel computer?
Il virus, una volta "eseguito" prende
la vostra rubrica del programma di posta e comincia
ad inviare email a tutti gli indirizzi ponendo però
come mittente il vostro indirizzo stesso o anche indirizzi
proprio della vostra rubrica. Come se non bastasse, è
in grado di "generare" indirizzi di posta elettronica
mischiando casualmente le varie parti della rubrica al fine
di "tentare" indirizzi inesistenti: proprio in quanto
inesistente, vedrete anche "tornare indietro" email
inviate ad indirizzi di posta elettronica più disparati.
Il virus tuttavia è stato progettato
per operare in due fasi:
- una iniziale di "diffusione" attuata al
fine di allargare l'epidemia il più possibile.
- una seconda fase di "attacco" verso determinati
obiettivi specifici, nella fattispecie due siti molto famosi
al mondo: www.sco.com
e www.microsoft.com
Mentre la prima fase di contaminazione
è piuttosto logica ed immediata da capire, la seconda
invece consiste nel far "connettere" continuamente
i pc infetti verso i due siti internet. La quantità
spaventosa di richieste, o più tecnicamente, di
traffico in continuo arrivo verso questi siti ne determina
un degrado sempre maggiore delle loro prestazioni. In pratica
è come se un milione di persone volessero spostarsi
verso la stessa meta, tutti nello stesso momento! Questo creerebbe
infinite code sia in partenza che in arrivo (viva le partenze
intelligenti!).
Al momento, non sono noti altri effetti, pertanto
il virus non cercherà nè di diffondere vostre
informazioni, quali documenti privati, tantomeno di distruggervele.
Aver preso il MyDoom significa una cosa sola:
essere ignari compartecipanti di questo ingente attacco a
due realtà di per sè molto grandi, quindi veder
la propria connessione "addormentarsi" o
rendersi del tutto inutilizzabile a causa del continuo e indiscriminato
via vai di dati.
Come scoprire l'infezione?
Per avere una risposta bastano pochi minuti di lavoro tecnico, se possibile fatevi aiutare da un amico più esperto.
Mettetevi al lavoro e cercate intanto di capire quale Sistema Operativo state utilizzando, per farlo andate sul vostro pulsante "Avvio" o "Start", e scegliete la voce "Esegui".
Nella casella che vi apparirà scriveteci:
- WINVER
- Premete su OK.
Vi apparirà un box con tutte le informazioni sul computer che state utilizzando.
Istruzioni per Windows XP, Windows 2000, Windows NT4.0:
- Cliccate su Start, quindi premere su Esegui.
- Nel box scrivete CMD quindi cliccate su OK. Vi apparirà un prompt di comandi.
Istruzioni se avete Windows 95, Windows 98, Windows ME:
- Cliccate su Start, quindi premere su Esegui.
- Nel box scrivete COMMAND quindi cliccate su OK. Vi apparirà un prompt di comandi.
Verificate la presenza di MyDoom.A:
- Nel box dei comandi appena aperto, scrivete: CD \
- Premete INVIO.
- Adesso, per far partire il controllo scrivete: DIR shimgapi.dll /A /S
- Premete INVIO.
- Attendete qualche minuto, riceverete uno dei seguenti risultati:
Computer non infetto da MyDoom.A |
|
Computer infetto da MyDoom.A |
 |
|
 |
(cliccate l'immagine per ingrandirla) |
|
(cliccate l'immagine per ingrandirla) |
Verificate la presenza di MyDoom.B:
- Nel solito box dei comandi, scrivete: CD \
- Premete INVIO.
- Quindi scrivete: DIR ctfmon.dll /A /S
- Premete INVIO.
- Attendete qualche minuto, riceverete uno dei seguenti risultati:
Computer non infetto da MyDoom.B |
|
Computer infetto da MyDoom.B |
 |
|
 |
(cliccate l'immagine per ingrandirla) |
|
(cliccate l'immagine per ingrandirla) |
Strumenti per la rimozione del virus dal computer: Se siete stati infetti dal virus, scaricate questo file per toglierlo dal vostro computer:
http://securityresponse.symantec.com/avcenter/FxMydoom.exe
Una volta eliminata la minaccia, installate un buon AntiVirus e tenetelo costantemente aggiornato, il solito consiglio è doveroso: non aprite mai allegati di posta elettronica da persone che non conoscete, con nomi "troppo scontati" (document.zip è il caso di MyDoom), o messaggi con oggetti semplici (hello, hi, test...).
|