Difendersi dai virus che si diffondono attraverso la posta elettronica

Il virus “Love-Letter-For-You” è probabilmente uno dei virus, diffusi attraverso la posta elettronica che ha fatto maggiormente parlare media ed opinione pubblica.
Cerchiamo con questo articolo di fare un pò di chiarezza sulla questione, mettendo in luce le semplici strategie da adottare per difendersi da questo genere di virus.

La posta elettronica è il veicolo preferito da virus detti worm come “Love-Letter-For-You”.
Noi preferiamo non attribuire loro l’appellativo di “virus” perché in realtà si tratta generalmente di script Visual Basic (abbreviato VBS) contenenti del codice ostile, capace di mettere a soqquadro il proprio personal computer.

Per chi non lo sapesse, uno script è una sequenza di istruzioni che possono essere utilizzate per rendere automatizzate una serie di operazioni. L’utilizzo degli script svolge una funzione simile a quanto facevano i file batch (BAT) in MS-DOS.
Il Windows Scripting Host è una sorta di “inteprete” degli script che Microsoft ha integrato in Windows 98: nelle versioni precedenti di Windows era infatti necessario ricorrere a file batch di MS-DOS per rendere automatiche operazioni di copia ed attività di routine.
Windows Scripting Host permette di avviare direttamente da Windows 98 Visual Basic script (VBS) e J-Script (JS) svolgendo due importanti funzioni: in primo luogo intepreta le istruzioni contenute negli script e permette di gestire eventuali errori di programmazione, in secondo luogo offre la possibilità, senza dover installare un vero e proprio linguaggio di programmazione, di interagire con tutti gli elementi che caratterizzano Windows. Semplici istruzioni permettono, per esempio, di dialogare con applicazioni quali Word, Excel, Access, intervenire sul registro di sistema, collegare stampanti, creare connessioni di rete e così via: tutte le operazioni che di solito vengono compiute manualmente possono quindi essere automatizzate.

Risulta evidente come il Windows Scripting Host possa essere da qualcuno utilizzato per far danni.
I virus worm allegati ai messaggi di posta elettronica solitamente non sono altro che Visual Basic script (VBS): non appena l’utente li esegue il virus viene attivato.

Lo script del virus è realizzato in modo tale che di solito (è anche il caso di “Love-Letter-For-You”) una delle prime cose che fa è quella di accedere alla rubrica degli indirizzi di Outlook (uno dei client di posta elettronica più usati), estrapolare la lista dei contatti, quindi auto-spedirsi in modo trasparente all’utente ad amici, parenti e conoscenti.

Non fatevi inoltre ingannare dall’estensione “apparente” del file allegato ad un messaggio di posta elettronica.
Come si sa, i file di testo (quelli con estensione TXT) sono del tutto innocui poiché contengono testo puro a differenza di file (EXE, VBS e JS) che possono contenere codice ostile. Chi sviluppa virus worm sfrutta questo fatto per ingannare l’utente: “Love-Lotter-For-You” consiste infatti in un file allegato dal nome LOVE-LETTER-FOR-YOU.TXT.vbs. Poiché di solito l’estensione dei file non viene visualizzata da Windows (in questo caso è appunto VBS) ciò che l’utente nota all’apertura del file “infetto” è un allegato denominato LOVE-LETTER-FOR-YOU.TXT. Pensando che si tratti semplicemente di un file di testo questo viene aperto.
Un errore gravissimo dunque, poiché la reale estensione del file è VBS, si tratta di uno script, script potenzialmente dannoso.

Noi consigliamo quindi di portarvi su Risorse del computer , Visualizza , Opzioni cartella…, selezionare Visualizza quindi disattivare l’opzione Nascondi l’estensione per i tipi di file conosciuti: in questo modo si potrà notare la reale estensione di qualunque file.

La difesa più efficace è sempre la stessa: non aprite mai gli allegati a messaggi di posta elettronica a meno che non siate assolutamente certi del loro contenuto. Il virus “Love-Letter-For-You” è notevolmente dannoso: sostituisce i file script di Windows e i file jpg, mpg, mp2 e mp3 con una copia di se stesso che ha lo stesso nome del file con l’aggiunta dell’estensione vbs. Per esempio, immagine.jpg diviene immagine.jpg.vbs. Il contenuto del file immagine.jpg viene perso e viene sostituito con lo script VBS contenente che attiva il virus.
“Love-Letter-For-You” modifica inoltre la pagina di partenza di Internet Explorer specificandone una scelta a caso fra quattro indirizzi che corrispondono ad altrettanti indirizzi Internet dai quali viene automaticamente prelevato il file eseguibile “WIN-BUGS-FIX.EXE” eseguito poi al primo riavvio di Windows. Al momento non conosciamo quali danni possa causare al sistema tale eseguibile.

Eliminate quindi qualunque messaggio di posta elettronica sospetto, soprattutto quelli con un allegato VBS, JS o EXE.
Nel caso di “Love-Letter-For-You” potete verificare se siete stati infettati cercando all’interno del registro di sistema le chiavi HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKerne132 e HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win 32DLL. Se almeno una delle due è presente significa che all’interno del vostro sistema è in esecuzione il “Love-Letter-For-You”.

Premete CTRL+ALT+DEL quindi selezionare la voce “WScript” infine fate clic sul pulsante Termina operazione.

Cancellate i file MSKernel32.vbs e LOVE-LETTER-FOR-YOU.TXT.vbs dalla cartella di sistema di Windows (generalmente C:\WINDOWS\SYSTEM) quindi Win32DLL.vbs dalla cartella principale di Windows (generalmente C:\WINDOWS).

Eliminate qualunque file WIN-BUGSFIX.exe presente sul sistema (fate una ricerca con Avvio/Start , Trova…)
Eliminate il file LOVE-LETTER-FOR-YOU.HTM eventualmente presente nella cartella di sistema di Windows (generalmente C:\WINDOWS\SYSTEM)
Sempre servendovi di Avvio/Start , Trova… cercate tutti i file che iniziano per love-letter ed eliminateli

Provvedete quindi ad eliminare dall’interno del Registro di sistema (Avvio/Start , Esegui… , REGEDIT) le seguenti chiavi:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKerne132
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX

Aprite quindi Internet Explorer, portatevi su Strumenti , Opzioni Internet…. In corrispondenza di Pagina iniziale eliminate l’indirizzo che compare e scrivete, per esempio, about:blank

Se usate mIRC eliminate il file mirc.ini modificato dal virus.

E’ consigliabile effettuare un controllo anti-virus dopo aver prelevato dal sito del produttore gli ultimi aggiornamenti.