Uno dei modi più semplici per riconoscere messaggi di questo tipo consiste nel verificare l’header completo del messaggio. Tale header viene normalmente nascosto dai programmi per la visualizzazione della posta elettronica, ma può essere visualizzato scegliendo l’opzione opportuna del programma .L’header contiene informazioni relative alla fonte di provenienza reale del messaggio. Ecco un esempio:
![hack[2].jpg](http://assaltopirata.files.wordpress.com/2008/07/hack2.jpg)
Normalmente l’header viene mostrato cosí:
Date: Mon, 15 Jul 2002 11:45:50 +0200 (CEST)
From: Luca Fini <pippo@libero.it >
To: <pincopallino @libero.it>
Subject: Informazioni in attachment
Sembra a prima vista un messaggio inviato da pippo@libero.it all’indirizzo pincopallino@libero.itVediamo però l’header completo:
Received: from butterfly.sissa.it (butterfly.sissa.it [147.122.1.137])
by hercules.arcetri.astro.it (8.12.2/8.12.2) with ESMTP id g6F9jmMs007464
for <pincopallino@libero.it>; Mon, 15 Jul 2002 11:45:50 +0200 (CEST)
Received: from AFRICA (pc-44.adm.sissa.it [147.122.56.144])
by butterfly.sissa.it (8.11.3/8.11.3/SISSA 1.3) with SMTP id g6F9jfh02946
for <pincopallino@liberoit>; Mon, 15 Jul 2002 11:45:41 +0200
Date: Mon, 15 Jul 2002 11:45:50 +0200 (CEST)
From: Luca Fini <pippo@libero.it >
To: <pincopallino@libero.it >
Subject: Informazioni in attachment
Message-ID: <200207150945.g6F9jfh02946@butterfly.sissa.it>
MIME-Version: 1.0
Content-Type: MULTIPART/MIXED; BOUNDARY=”8323328-609979923-1059984796=:4447″
La prima linea “Received” mostra chiaramente che c’è qualcosa che non va, infatti il messaggio dichiara come indirizzo di provenienza lfini@arcetri.astro.it ma il messaggio viene effettivamente ricevuto dall’indirizzo: 147.122.1.137 che corrisponde a butterfly.sissa.it (Nota: in molti casi compare solo il numero IP perchè questo non corrisponde ad alcun nome conosciuto).
L’anomalia consiste nel fatto che il messaggio non proviene da uno degli indirizzi della rete di Arcetri.
Ogni volta che la provenienza dichiarata nel campo “From:” è diversa da quella che compare nel primo dei campi “Received:”, il messaggio è da considerare fortemente sospetto.
I messaggi con virus hanno sempre un allegato che ne costituisce il vero scopo: si tratta infatti di un programma eseguibile destinato a compiere l’azione dannosa.
N.B. generalmente l’allegato non è dichiarato in formato EXE ma in JPJ MP3 MP4 insomma viene mascherato
N.B: I files eseguibili sono di vari tipi, non solo quindi i files *.EXE, ma anche: *.COM,*.VBS, *.BAT, *.PIF, *.SCR, ed altri.
I messaggi di questo tipo sono solitamente riconoscibili perché “fuori contesto”: il testo è più o meno incongruo, nessun attachment di tale tipo è atteso da quel particolare mittente, ecc. È bene tenere presente però che i “costruttori” di virus fanno il massimo sforzo per renderli credibili.
Come agiscono
Tutti i programmi di questo tipo fin’ora segnalati sono mirati a Windows ed alcuni di essi utilizzano problemi noti di Outlook e Outlook Express. La tecnica è però facilmente applicabile a tutti i sistemi operativi ed a tutti i programmi di posta elettronica; nessuno può quindi ritenersi immune solo perché usa un dato sistema operativo o un dato browser di posta elettronica. In particolare qualunque browser di posta elettronica consente di lanciare un programma inviato come allegato
Per entrare in funzione il programma inviato come allegato deve essere mandato in esecuzione; Ciò può avvenire volontariamente (è il caso più frequente) perché il ricevente effettivamente impartisce un comando di esecuzione o “clicca” sull’icona ritenendo che si tratti di un programma innocuo, oppure involontariamente.
N.B: I nomi dei file allegati sono studiati per trarre in inganno. Ad esempio il nome può essere del tipo: “IMAGE.GIF .EXE“, che ha apparentemente una estensione .GIFma in realtà termina per .EXE anche se la cosa sfugge perché il nome contiene una lunga sequenza di spazi e la vera estensione finisce fuori dallo schermo.
In alcuni casi il programma Outlook Express può essere configurato in modo da ignorare il tipo di attachment dichiarato ed invece basarsi su una analisi indipendente del file per decidere l’azione; quindi un attachment può essere dichiarato di tipo GIF, ma contenere invece codice eseguibile che viene riconosciuto e mandato in esecuzione “cliccando” sull’icona.
Infine alcuni virus riescono a sfruttare “bug” (errori) nel programma di visualizzazione della posta elettronica, normalmente legati a qualche funzione “automatica” (ad esempio le funzioni di “anteprima” di immagini allegate al messaggio). In questo caso il virus può essere eseguito anche automaticamente.
Quello che accade in seguito all’esecuzione varia da caso a caso. Nei casi più frequenti il programma scrive sul monitor un messaggio di errore ed apparentemente fallisce, invece rimane attivo indefinitamente (nonché viene rilanciato ad ogni bootstrap) ed invia messaggi agli indirizzi trovati nell’indirizzario, componendoli utilizzando brani di messaggi trovati nei folder. Ad ogni messaggio è ovviamente allegata una copia del programma, con vari nomi di fantasia. In qualche caso viene invece mandato un messaggio prefissato, con una richiesta di aiuto o di consiglio.
Come evitarli
La prevenzione è la forma più importante di difesa, ed anche quella meno onerosa.
L’uso di un antivirus (io vi consiglio o AVG Free) rappresenta solitamente una buona protezione purché si tengano presenti due aspetti:
- L’antivirus è realmente sicuro solo se mantenuto costantemente aggiornato (ad esempio settimanalmente).
- L’uso di un antivirus può essere addirittura dannoso se da all’utilizzatore un falso senso di sicurezza inducendolo a trascurare le norme elementari di precauzione
Nella maggior parte dei casi il virus entra in azione per una errata o inconsapevole manovra di chi lo riceve, quindi innanzitutto è importante conoscere bene il funzionamento del programma di posta elettronica che si usa. Occorre sapere come si presentano i vari tipi di allegati come si fa per estrarli senza mandarli in esecuzione, come cancellarli, come verificare lo header, etc.
È anche assai importante disabilitare tutte le funzioni “automatiche”, ad esempio quelle di “anteprima” che si trovano in alcuni programmi di posta elettronica (ad es.: Outlook). Anzi sarebbe assai consigliabile non utilizzare programmi di posta elettronica che consentano operazioni di tipo automatico.
Quando si riceve un messaggio “sospetto”, la cosa migliore è ignorarlo e cancellarlo. È un rimedio semplice, economico e totalmente efficace.
N.B: In ogni caso è buona norma avvertire il corrispondente di aver ricevuto il probabile virus in modo che ne sia almeno consapevole. Occorre però tenere presente che l’indirizzo di provenienza può essere contraffatto e che quindi non è detto che il mittente dichiarato sia quello effettivo.
Se proprio non si può fare a meno di resistere alla curiosità è bene, prima di mandare in esecuzione il programma, attenersi alle seguenti regole:
- Chiedere conferma al mittente dell’avvenuto invio consapevole di un programma eseguibile.
- Chiedere al mittente la provenienza del programma e valutare attentamente l’attendibilità della risposta: in qualche caso il mittente può essere inconsapevole di ospitare un virus o non avere a sua volta ben valutato l’affidabilità della fonte di un programma.
- Effettuare l’estrazione del file dal messaggio in modo manuale. È bene che l’operazione sia fatta solo da chi conosce bene il funzionamento del programma di posta elettronica per evitare che il virus sia mandato in esecuzione inavvertitamente.
- Non affidarsi al risultato di una scansione del programma con un antivirus: spesso gli antivirus sono sostanzialmente inefficaci nei confronti di questi programmi.
- Chiedere ad un conoscente di eseguire il programma sul proprio PC: cosí eventualmente gli effetti li subisce lui
.
Cosa fare quando ci segnalano che un nostro messaggio contiene un virus
Prima di tutto conviene verificare chi ha inviato la segnalazione.
Se si tratta di una persona conviene contattarla e chiederle di verificare nell’header del messaggio che questo provenga effettivamente dal proprio PC e che non si tratti di un caso di indirizzo del mittente contraffatto.
Se si tratta di un sistema automatico, conviene verificare con maggior cura che la segnalazione sia corretta; in molti casi, infatti, i sistemi automatici inviano un messaggio di avviso all’indirizzo che trovano nel campo “From”. Come abbiamo visto, però, tale campo può essere contraffatto e quindi accade sovente che l’avviso arrivi a qualcuno che non ha niente a che fare con il virus. Più in dettaglio:
- Ugo ha preso un virus, ed ha nel proprio indirizzario l’indirizzo e-mail di Carlo.
- Il virus dal PC di Ugo manda messaggi cercando di diffondersi ed utilizza l’indirizzo di Carlo come falso indirizzo di provenienza.
- Uno dei server che ricevono il messaggio con virus lo rivela e manda un avviso al presunto indirizzo di provenienza, ovvero a Carlo, del tutto ignaro.
Ovviamente può accadere che il vostro PC sia effettivamente stato contagiato da un virus, e ciò potrebbe essere verificato facilmente purché sia disponibile (al solito) l’header completo del messaggio con il presunto virus. Normalmente i messaggi automatici includono l’header del messaggio (altrimenti sarebbero del tutto inutili).
Se nell’header, in uno dei campi “Received” compare come provenienza il numero IP del vostro PC (ovvero, nel caso di PC nella rete di Arcetri, un numero del tipo 193.206.154.x, oppure193.206.155.x), avete con tutta probabilità contratto davvero il virus e dovete procedere immediatamente all’eliminazione.
