IT.COMP.SICUREZZA.VIRUS
COOPERATION
presents
Automaticamente aprendo la mail o il suo allegato, o semplicemente
visitando la pagina infetta, se si ha una versione di IE/OE non aggiornata e
senza le restrizioni sull’esecuzione degli script, e con l’anteprima attivata.
In sintesi
Infetta i file .htm, .vbs,
.htt, .asp, modifica le impostazioni di IE/OE e del registro, si autospedisce
agli indirizzi che trova nella rubrica e nei file che riesce a colpire, e
quando la somma di mese e giorno fa 13 (per esempio 4/9 – 3/10 ecc.) cancella
file .exe e .dll.
In dettaglio
Sfrutta una falla di sicurezza di IE/OE per incorporarsi in coda al
codice html contenuto in una pagina Web o in una mail con elementi decorativi, oppure
si allega ad una mail con testo normale il cui oggetto è Help e l’allegato è un
file che si chiama Untitled.htm.
Quando arriva non inizia immediatamente a diffondersi all’esterno,
ma per prima cosa si prepara le basi e si propaga nel computer ospite,
nascondendosi nei files Help.hta, Help.vbs, Help.htm o Untitled.htm.
Rimpiazza il default del desktop con un file html che contiene il
suo codice attivato dal file Help.htm, utilizzando il nostro sfondo per
mimetizzarsi ed andare automaticamente in esecuzione all’avvio di Windows,
inoltre se sono attivi l’Active Desktop e la visualizzazione delle cartelle
come pagine Web il worm si moltiplica ad ogni avvio o refresh del desktop o
delle cartelle di Esplora Risorse.
In questo modo ad ogni movimento tra le cartelle il worm va in
esecuzione, e vengono infettati inizialmente tutti i file .htt della cartella
di Windows.
Ad ogni esecuzione, Haptime cerca i file con estensione .htt, .htm,
.html, .asp e .vbs e ne infetta uno alla volta inserendosi al loro interno
sotto forma di codice VBS (Visual Basic Script), quindi cerca al loro interno
indirizzi email e si spedisce in questo modo:
Oggetto: Help
Testo: nessuno
Allegato: Untitled.htm
(infetto)
Ogni file che infetta gli fa guadagnare una tacca sulla chiave
Count e ne incrementa il valore, quindi ad ogni 366° file colpito e affondato,
tenta, con pari probabilità, una delle seguenti azioni:
- Dà un’occhiata alla posta in arrivo, e risponde a tutti con il seguente messaggio
Oggetto: Fw: <indirizzo mail del mittente originale>
Testo: nessuno
Allegato: Untitled.htm
(infetto)
- Si spedisce a tutti gli indirizzo trovati nella rubrica con questo messaggio
Oggetto: Help
Testo: nessuno
Allegato: Untitled.htm
(infetto)
Quindi inizia il tentativo di replicarsi all’esterno forzando OE
all’invio di mail in html, e sfrutta gli elementi decorativi (che non sono
altro che file html) per diffondersi, così ogni nuova mail avrà a nostra
insaputa un ghirigoro in più ben nascosto al suo interno; per i suoi scopi crea
le seguenti chiavi nel registro di configurazione:
Wallpaper=Windows\Help.htm
che sostituisce il suo confetto al nostro sfondo per lavorare con l’Active
Desktop
che gli serve a tenere il conto delle sue malefatte
che usa come promemoria
HKEY_CURRENT_USER\Identities\<vostraidentità>\Software\Microsoft\Outlook
Express\5.0\Mail
in cui obbliga OE a scrivere in html con il suo
elemento poco decorativo ma molto efficace, creando i valori
Stationery Name Windows\Untitled.htm
Se il programma di email o il server di posta che processa il
messaggio non è settato o non è in grado di decodificare i messaggi html, questi
messaggi saranno convertiti in allegati, ed aprendo l’allegato si otterrà lo
stesso risultato (=infezione) di una mail con html incorporato.
Un buon antivirus deve sempre fare la sua parte, che in questo caso
è quella di individuare i file colpiti in modo da poterli eliminare, facendo
una scansione completa del sistema con l’opzione di controllo di tutti i file.
Data la velocità e gli effetti quasi invisibili di questo worm, ci
si può accorgere della sua presenza quando l’infezione è già molto estesa, ma
spesso, per fortuna, la maggior parte delle migliaia di file rilevati come
infetti si trova nella cartella dei file temporanei di Internet, quindi le
azioni da svolgere sono sostanzialmente poche.
1. Disattivare l’Active
Desktop e la visualizzazione delle cartelle come pagine Web, se attivi
2. Disattivare la
cartella Restore se si possiede WinME e riavviare Windows con il Restore
disattivato
3. Scaricare ed installare la patch di
sicurezza per le vecchie versioni di IE/OE, reperibile all’indirizzo http://www.microsoft.com/technet/ie/tools/scrpteye.asp
oppure ancora meglio installare da qualche cd l’intero aggiornamento di IE
4. Eliminare tutti i
file temporanei Internet, comprese le cartelle, con la funzione Trova ->
File o cartelle
oppure ancora più
radicalmente riavviando in dos da C:\WINDOWS> con i seguenti comandi
smartdrv
deltree temp
deltree tempor~1
deltree cookies
5. Sempre con Trova
-> File o cartelle
cercare ed eliminare qualsiasi file si chiami Untitled.htm, Untitled.vbs, Help.hta, Help.vbs, Help.htm, ovunque si trovi
idem per tutti i file
*.htt contenuti nella cartella C:\WINDOWS\WEB
6. Dopo aver ripassato l’antivirus eliminare
o isolare (in una cartella blindata o in quarantena) tutti i rimanenti file
rilevati come infetti, in modo da poter individuare i propri e capire quali
siano, e se siano importanti o meno, ed in caso di incertezza eliminare senza
pietà.
I file infetti non sono comunque recuperabili, a meno di intervenire
all’interno del codice html in condizioni di sicurezza (operazione non alla
portata del comune utente)
7. Cercare ed eliminare
le chiavi di registro create da Haptime
da Start -> Esegui -> Regedit con la funzione trova o sfogliando manualmente, facendo la massima attenzione a non modificare altro in quanto tutte le operazioni sul registro sono delicate e possono compromettere la precaria stabilità di Windows
8. Ripristinare le impostazioni preferite di OE dalle Opzioni, se necessario
Il suddetto procedimento di per sé non comporta rischi per l’integrità dei dati o del sistema, salvo quelli derivanti dall’azione del virus e dall’eliminazione dei file compromessi.
Si raccomanda comunque di usare le dovute cautele e non si risponde di imprevisti o danni conseguenti ad ogni azione intrapresa, volontariamente, dall’utente.