Sebbene non ancora segnalato come diffuso dalle società produttrici di antivirus, è un pericolo imminente
Britney è un virus di tipo Worm, lungo 10622 bytes, che utilizza Outlook
per inviare copie di se stesso a vari utenti. E’ noto in alcune piccole
varianti, con nomi quali Britneypic, Vbs/Britney-a, Worm/Britney Pic,
Chm_BritneyPic e altri.
La sua peculiarità è che è stato scritto in un formato insolito. L’allegato infettivo non è come di consueto un file Vbs, Exe, Com, Html o simili, bensì presenta il suffisso .Chm. Per la precisione, il file si chiamata Britney.chm.
Il formato Chm è stato adottato in tempi relativamente recenti da Microsoft come standard per la realizzazione di file di guida, in sostituzione del vetusto “Hlp” usato ai tempi di Windows 3.1. I documenti Chm hanno un aspetto estremamente simile ai file Html per grafica e metodo di navigazione, anche se non richiedono un browser Internet per essere visualizzati. Solo sistemi Windows recenti (da 98 in poi) dotati di Internet Explorer 5.0 (o successivi) o applicativi come Microsoft Office possono usare i file Chm.
Britney arriva come un file allegato ad un messaggio di posta elettronica, spesso da una persona nota, che ha il nostri indirizzo di posta elettronica nella rubrica di Outlook. Il file con suffisso Chm allegato al messaggio contiene un programma realizzato in Vbs Script. Una volta eseguito il file, il codice del virus si copia nella cartella di Windows, ma non nei sistemi Windows Nt, 2000 e Xp. Scrive anche un file Script.ini, che può sovrascrivere l’omonimo file nella cartella del programma Mirc (per il chat) e aggiunge una voce nel Registry di Windows. Usando il sistema di messaggistica Mapi standard di Windows può inviare un messaggio di posta elettronica, all’insaputa dell’utente, con la seguente intestazione:
Soggetto:
RE: Britney Pics Allegato:
>
Messaggio: Take a look at these pics
In questo caso il link riportato non è il virus, bensì un link ad un sito che può scaricare il codice VB Script del virus in browser non aggiornati con le ultime patch contro l’esecuzione automatica di codici VB Script nelle pagine Internet. Ricordiamo che questo problema si risolve aggiornando il browser Internet col servizio Windows Update di Microsoft (il link è nel menu Strumenti di Explorer). Inoltre, il virus può inviarsi in modo automatico nel sistema di messaggistica Mirc e, come di consueto, ai contatti della rubrica di Outlook.
E’ riconosciuto dai moderni antivirus commerciali
aggiornati.
