A me' mi puzza di pesce d'aprile lontano 20000 kilometri Fred --------------------------------------- >Subject: [INTERNET PER TUTTI] Power-Off, nuovo virus per tutti i sistemi=20 >operativi >Reply-To: internetpertutti-owner@xxxxxxxxxxxxxxx > >_Power-Off, nuovo virus per tutti i sistemi operativi (1 aprile 2002)__ > >Come sapete, abitualmente non segnalo in questa newsletter ogni virus che >esce in Rete: ne nascono troppi ogni giorno. Faccio volentieri >un'eccezione, pero', quando il virus ha caratteristiche inconsuete o >rappresenta un salto tecnologico, come a suo tempo BubbleBoy e i suoi= emuli. > >E' per questo che vorrei segnalarvi la circolazione di un nuovo virus >estremamente minaccioso, denominato "Power-Off" o "pHiSh", che e' stato >recentemente rilevato da alcuni esperti. Purtroppo, in ossequio alle nuove >leggi sul "responsible disclosure", l'annuncio ufficiale di questa >vulnerabilita' non puo' essere dato dai siti dedicati alla sicurezza se non >dopo almeno due settimane dalla segnalazione alle aziende il cui prodotto >e' risultato vulnerabile: quindi, visto che il problema e' stato comunicato >oggi 1 aprile alle aziende, gli utenti sono vulnerabili e totalmente >indifesi almeno fino al 14/4. > >Di solito rispetto questa legge, anche se e' estremamente discutibile, ma >stavolta, vista la serieta' della minaccia, non me la sono sentita di >lasciarvi alla merce' del primo pirata che passa per ben due settimane. Mi >premeva avvisarvi prima che il virus cominciasse a mietere vittime. > >Niente panico: il virus e' potente, ma lo si ferma con alcune semplici >contromisure che trovate in fondo a questo avviso. > > >__Un inquietante passo avanti___ > >Il salto tecnologico e' questo: la capacita' di colpire _qualsiasi_ sistema >operativo. Infatti sappiamo tutti che i virus sono scritti su misura per un >singolo sistema operativo. Un virus puo' infettare un computer sul quale >gira Windows, ma non puo' fare nulla contro un PC sul quale gira Linux, >OS/2, BeOS o contro un Mac, e viceversa. Esistono alcuni virus che superano >questa barriera, i cosiddetti "cross-platform", ma sono ben poco efficaci >(infettano al massimo due sistemi operativi) e soprattutto vengono fermati >dagli antivirus aggiornati. > >pHiSh, invece, ha un'efficacia notevolissima, in quanto riscrive >direttamente il BIOS, rendendo quindi inaccessibili e inservibili i dischi >rigidi, il mouse e la tastiera (i dati sono recuperabili soltanto smontando >_immediatamente_ i dischi rigidi e installandoli su un altro computer non >infetto), ma soprattutto perche' agisce _prima_ dell'avvio del sistema >operativo, ossia proprio quando l'antivirus non puo' fare nulla per= fermarlo. > >Pensateci un attimo: anche l'antivirus piu' moderno e aggiornato e' attivo >soltanto quando il sistema operativo e' in funzione (e in realta' si avvia >alcuni secondi _dopo_ che e' stato avviato il sistema operativo stesso, >lasciando quindi una finestra di vulnerabilita' anche verso altri virus >meno sofisticati). Non puo' fare nulla prima che il sistema operativo si >avvii e soprattutto non puo' fare nulla quando il computer e' _spento_. > >E qui entra in funzione pHiSh. Molti dei computer moderni, infatti, non si >"spengono" mai completamente. Quando ad esempio dite a Windows di arrestare >il sistema, alcune parti del computer rimangono sotto tensione. Il filo >telefonico del modem rimane alimentato (come potete verificare con un >tester), i condensatori e i compensatori di Heisenberg presenti nel >computer mantengono un residuo di corrente e soprattutto il BIOS rimane >alimentato da una batteria interna. Il computer e' insomma in "sonno", ma >non e' del tutto inattivo, ed e' a questo punto che agisce il nuovo virus. > > >_Come agisce pHiSh__ > >Proprio per questo e' denominato appunto "Power-Off", e per questa sua >caratteristica e' in grado di agire a prescindere dal sistema operativo che >avete installato sul computer. Agisce in due modi: > >-- nel caso di un computer collegato a Internet tramite filo telefonico, >modulando la tensione presente sul filo telefonico stesso in modo da >emulare un segnale di "wake-up on modem call" (funzione presente in molti >BIOS, che consiglio di disattivare), che "risveglia" il BIOS in modalita' >"read/write" e permette al virus di sovrascrivere con dati pseudocasuali le >impostazioni del BIOS, paralizzando il computer; > >-- nel caso di un computer collegato a Internet tramite una rete locale >Ethernet, modulando i segnali presenti sul cavo Ethernet in modo da >attivare la funzione "wake-up on LAN". Anche questa funzione e' presente in >molti BIOS (e va disattivata) e "risveglia" il BIOS come descritto sopra. > >Al momento non e' chiaro se anche le connessioni tramite cellulare GSM e >tramite rete wireless si prestino a questo exploit, ma sembrerebbe di no. >Probabilmente anche i laptop che hanno schede di rete PCMCIA sono immuni. >Non ho ancora dati su quali BIOS siano colpiti e quali no, anche se si >presume che tutti quelli recenti dotati delle suddette funzioni di >"wake-up" siano vulnerabili. Appena avro' informazioni, ve le segnalero'. > >Vorrei sottolineare che questo virus agisce >_su_qualsiasi_sistema_operativo_ e _scavalcando_ogni_antivirus_. >Rappresenta pertanto un vero traguardo tecnologico per gli autori di virus, >ma soprattutto una seria minaccia per ogni utente di personal computer. Vi >consiglio di diffondere a tutti quelli che conoscete questa segnalazione, >anche se e' preliminare e incompleta, affinche' possano adottare subito le >semplici ma preziose contromisure del caso, descritte qui sotto. > > >__Propagazione__ > >Al momento (1 aprile 2002) non e' ancora ben chiaro il metodo di >propagazione, ma alcuni fatti sono ragionevolmente assodati. L'infezione si >propaga in due fasi. > >-- Prima fase: ad alcuni computer il virus viene recapitato sotto forma di >e-mail (senza allegato; e' "embedded" nel codice HTML), e in questa guisa >e' facilmente riconoscibile dal fatto che il messaggio infettante arriva da >un utente che la vittima conosce (un amico, un collega, un conoscente), e' >in formato HTML e inizia con il codice "I:" oppure "R:" seguito da uno o >piu' spazi. Diffidate di ogni messaggio che inizia con questi codici, >facili da confondere con quello standard (che e' "Re:"). Chi lo manda >potrebbe essere infetto. > >-- Seconda fase: una volta insediato, il virus esegue una scansione del >disco rigido alla ricerca di numeri di telefono (o numeri che possono >sembrare telefonici) e poi esegue un "soft dial", ossia compone in sequenza >ogni numero trovato, senza pero' dare la tensione esatta necessaria per il >comando "solleva la cornetta" che precede una normale chiamata. Questo >inganna la centrale telefonica (e' un trucco usato da tempo per telefonare >gratis), che non registra la chiamata e non la addebita, ma la chiamata >raggiunge comunque il numero del destinatario. Se a quel numero e' >collegato un PC spento, il virus ne riscrive il BIOS, rendendo inservibile >il PC. Questa tecnica, fra l'altro, mi fa pensare che probabilmente non ha >effetto su linee ISDN, ma e' solo una mia teoria. > > >__Rimedi__ > >Sono piuttosto semplici: > >-- Disattivare le funzioni "wake up on LAN" e "wake up on modem" del BIOS > >-- Scollegare il PC dal filo telefonico e dalla rete Ethernet quando e'= spento > >-- Diffidare di ogni messaggio che inizia con "I: " oppure "R: " ed e' in >formato HTML > >-- Non usare programmi che interpretano automaticamente l'HTML contenuto >nei messaggi > >-- Disattivare la _spedizione_ di messaggi in formato HTML, in modo che non >possiate infettare altri utenti > > >__Consigli particolari per gli utenti Outlook__ > >Alcune versioni di Outlook generano risposte contenenti proprio i codici >"I:" e "R:" incriminati. Se la vostra versione lo fa, installate l'apposita >patch gratuita (http://www.vene.ws/mail/patch.asp), altrimenti i vostri >messaggi sembreranno infetti e quindi causeranno falsi allarmi. > >Per impostare Outlook in modo che mandi i messaggi come testo semplice e >quindi non possa veicolare l'infezione, scegliete Strumenti - Opzioni - >Invio - Formato invio posta. I dettagli della procedura sono descritti in >vari siti, come= http://pcpro.mondadori.com/pcpro/know_how/art006001035850.jsp. > >Gli utenti di Outlook 2000 e Outlook 2002 possono evitare l'interpretazione >automatica dell'HTML contenuto nei messaggi _ricevuti_ usando un semplice >plug-in gratuito, chiamato NoHTML, reperibile gratuitamente presso >http://ntbugtraq.ntadvice.com/default.asp?sid=3D1&pid=3D55&did=3D38. Il= plug-in >NON funziona con Outlook 98 e Outlook Express. > >Troverete maggiori informazioni, quando saranno disponibili, presso il mio >sito www.attivissimo.net. > >Nel frattempo, buon lunedi' dell'Angelo a tutti. > >Ciao da Paolo. > >----------------------------------------------------------------------- >Paolo Attivissimo Traduttore tecnico, divulgatore informatico >topone@xxxxxxxxx http://www.attivissimo.net >---------+---------+---------+---------+---------+---------+---------+-- > > > >(C) 2002 by Paolo Attivissimo. Distribuzione libera purch=E9 integrale,=20 >senza scopo di lucro e riportando la dicitura "=A9 2002 Paolo Attivissimo= =20 >(www.attivissimo.net)". Per pubblicazioni a scopo di lucro, contattate=20 >l'autore presso topone@xxxxxxxxxx > >Iscrizioni: internetpertutti-subscribe@xxxxxxxxxxxxxxx >Dis-iscrizioni: internetpertutti-unsubscribe@xxxxxxxxxxxxxxx >Problemi: topone@xxxxxxxxx > >Se ti piace quello che leggi, fallo sapere in giro, e mandami >un po' di focaccia! > >L'utilizzo, da parte tua, di Yahoo! Gruppi =E8 soggetto alle=20 >http://it.docs.yahoo.com/info/utos.html Un pinguino al giorno leva il bug di torno My personal homepage =09 http://www.tennisbar.da.ru Lavarone homepage: http://www.lavarone.com Linuxtrent http://www.linuxtrent.it -- Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx