Da Sobig a MyDoom, i recenti worm informatici presentano comportamenti simili che possono aiutare l'utente a riconoscerli e evitando così di contrarre l'infezione. In particolare, Sobig versione F e Mydoom hanno molte caratteristiche in comune che li hanno resi i due virus più diffusi nella storia della rete Internet. Mydoom, secondo i rilevementi a caldo di MessageLabs, ha colpito 1 mail su 12 contro il rapporto 1 a 17 di Sobig.F. Prescindendo dalle caratteristiche comuni, ecco sei informazioni da tenere bene a mente per affrontare le prossime ondate di virus.
1. Ricerca degli indirizzi e-mail sull'hard disk
Gli ultimi worm inviano e-mail infette partendo o da indirizzi e-mail creati ad hoc o da indirizzi reali trovati sul computer dell'utente. Ciò significa che il virus, prima di iniziare ad autoinviarsi, effettua una scansione del sistema cercando indirizzi e-mail da utilizzare come mittente e destinario dell'e-mail. Il virus non cerca solamente nei file di Outlook (file dbx), ma anche nei file htm e html, come ad esempio le pagine navigate dal browser e salvate in cache, nei file txt, asp, php ecc.
Morale: se il proprio indirizzo e-mail è pubblicato su siti Web si è maggiormente esposti a ricevere un virus.
2. Falsificazione (spoofing) dell'indirizzo mittente
I worm mass mailer, ossia i virus informatici come Mydoom o Sobig, una volta attivati sul sistema aggredito iniziano ad inviare e-mail agli indirizzi trovati sul computer dell'utente modificando l'indirizzo del mittente. È dunque un grave errore basarsi sul mittente dell'e-mail infetta per stabilire chi ha inviato il virus, questo è molto probabilmente un indirizzo fasullo, creato ad hoc dal virus o trovato nel computer dell'utente infetto. Anche nel caso riceviate segnalazioni che il vostro computer è infetto da un virus, dovete considerare che questa segnalazione si basa probabilmente su una mail infetta con il vostro indirizzo e-mail fasullo.
Morale: non pensare che chi ti invia l'e-mail sia stato infettato dal worm
3. Sovraccarico della connessione ad Internet
I worm non provocano danni al computer e, solitamente, non cancellano file. Creano però traffico internet in eccesso perché si autoinviano secondo la modalità descritta nel punto 2. Gli ultimi worm hanno anche una caratteristica nociva in più: creano dei Denial Of Service verso siti Web, ossia cercano di intasare un sito web predefinito con decine di richieste al secondo.
Morale: il regolare funzionamento del computer non è sintomo di immunità dall'infezione; è invece sintomo di infezione la lentezza nell'aprire pagine e una navigazione rallentata.
4. Infezione delle reti peer to peer
Gli ultimi worm si diffondono anche attraverso i sistemi di scambio file, con una particolare predilezione del network di Kazaa, il sistema attualmente più utilizzato, soprattutto negli USA, per lo scambio file. Il sistema è semplice: il worm crea all'interno della directory predefinitia di Kazaa (solitamente C:Program FilesKaZaAMy Shared Folder) una serie di file infetti con nomi-esca, tipo il nome dell'ultimo gioco disponibile o software Microsoft. Mydoom, ad esempio, crea i seguenti file infetti: winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack, nuke2004. Altri nomi di altri worm sono: Norton_crack.exe, Windows-xp-full-edition.exe.vbs, Quake 2.exe.vbs, Britney.jpg.vbs ecc.
Morale: usare i programmi di file sharing con estrema attenzione senza lasciarsi attrarre dai file più rari
5. Autoaggiornamenti attraverso backdoor
Gli ultimi worm sono autoaggiornabili e gestibili dall'esterno. Il worm infatti apre al computer una porta di comunicazione verso la rete Internet accessibile, di solito, solo al creatore del virus. Attraverso questo canale di comunicazione, il creatore del virus, o chi ne è riuscito a scoprire il codice di comunicazione, può aggiornare le funzioni del worm oppure installare altri virus. Ad esempio Doomjuice, l'ultima variante di Mydoom, si installa sui computer dell'utente non attraverso un click sull'e-mail ma attraverso una porta di comunicazione aperta dallo stesso Mydoom.
Morale: un buon firewall che controlli le porte di comunicazione deve essere sempre un compagno di navigazione.
6. Social engineering
Il social engineering è, con le precise parole di Paolo Attivissimo, «l'insieme delle tecniche psicologiche, non informatiche, usate dagli aggressori online per farci fare quello che vogliono: per esempio, indurci a dare loro i nostri codici di accesso, ad aprire i loro allegati infetti o a visitare un sito che contiene dialer o altro materiale pericoloso». Quasi tutti i worm fanno affidamento a tecniche di social engineering per invitare l'utente a cliccare sull'allegato alla mail infetto. Mydoom inviava file zip senza indicazioni e tutti hanno pensato bene di "scoprire" cosa ci fosse dietro cliccandovi su, Sobig.F invitava a cliccare sull'allegato per "dettagli", ordine che milioni di persone hanno puntualmente eseguito.
Morale: non credere mai a chi invita a cliccare su file e tentare di riconoscere un'indicazione scritta da una macchina da un'indicazione scritta da un umano
