Un virus che si attiva solo leggendo il messaggio e infetta le reti locali
3 dicembre 2002 Scoperto il 4 novembre e attualmente in fase di rapida espansione, il virus Braid, noto anche come Bridex, W32/Braid@mm, I-Worm.Bridex e altri nomi secondo la società produttrice di sistemi antivirus che lo ha inserito nel sistema di riconoscimento del proprio software, è uno di quei virus estremamente insidiosi perché ad attivazione automatica.
Infatti, normalmente un virus di posta elettronica entra in azione soltanto aprendo un file allegato al messaggio, ad esempio un programma (.Exe o .Com), o un documento con macrodefinizioni (.dot, .doc, .tpl, .Rtf) e altri che possono contenere istruzioni di programma del virus. Tuttavia, vi sono virus che sfruttano alcuni difetti nei programmi di lettura di posta elettronica, di solito Outlook e Outlook Express perché sono i più diffusi, per attivarsi automaticamente non appena visualizziamo il messaggio, anche senza aprire alcun file allegato quindi.
Braid è uno di questi. La vulnerabilità che sfrutta è di Internet Explorer, o meglio di Outlook e Outlook Express che lo usano per visualizzare i contenuti Html dei messaggi di posta. Nonostante tale problema di sicurezza sia stato corretto da Microsoft sin dal marzo 2001 con un patch gratuito prelevabile dal servizio Windows Update tuttavia esistono ancora molti utenti che non hanno corretto tale difetto e diffondono il virus.
Nato in Corea, Braid usa per l’infezione una variante del virus FunLove, un virus per reti locali che infetta tutti i file eseguibili trovati in rete. FunLove infetta Msconfig.exe, un file presente nel sistema sin da Windows 98 per consentire all’utente di gestire la lista dei programmi eseguiti automaticamente quando si avvia Windows. Tale file non può essere disinfettato, nemmeno usando un antivirus, pertanto deve essere cancellato e ripristinato da un backup o dal disco originale di Windows.
Il virus Braid esamina i file con suffisso .DBX usati da Outlook,e tutti i file Html sul nostro disco fisso. Recupera in essi tutti gli indirizzi di posta elettronica ed invia una copia di se stesso per posta elettronica a tutti. Il corpo del messaggio è di questo tipo:
Hello Product Name: (versione di Windows) Product Id: (numero seriale di Windows). Thank You.
Le righe del messaggio variano e possono probabilmente anche essere in italiano in qualche variante del virus. L’allegato è un file chiamato di solito Readme.exe che è costruito in modo errato rispetto agli standard, per sfuggire al controllo di alcuni antivirus che verificano la posta in entrata. L’unico modo per essere totalmente al sicuro da questo virus, e da tutti quelli che usano problemi di sicurezza nei programmi di lettura di posta elettronica, è applicare regolarmente i patch consigliati da Microsoft e resi gratuitamente disponibili all’indirizzo del servizio Windows Update.
