Roron, una famiglia di virus minaccia le reti

Noto come “Roron” o “W32 Oror”, è una famiglia di Worm che si diffonde grazie ad un meccanismo interno di spedizione automatica per posta elettronica, reti mIrc, Kazaa e reti locali. Il virus conta varie specie, la prima delle quali è nota da gennaio 2 …

Noto come “Roron” o “W32 Oror”, è una famiglia di Worm che si diffonde grazie ad un meccanismo interno di spedizione automatica per posta elettronica, reti mIrc, Kazaa e reti locali.

Il virus conta varie specie, la prima delle quali è nota da gennaio 2003 e l’ultima è stata scoperta il 3 marzo. Arriva di solito come messaggio di posta elettronica con un file allegato dotato di suffisso .Exe o .Scr, Colpisce tutte le tipologie di sistemi Windows (da 95 a Xp) ma non sistemi Macintosh, Unix, Linux od Os/2.

Il mittente del messaggio è variabile, può essere un indirizzo come support@mcafee.com, cards@e-greetinsg.com, charts@mtve.com, support@microsoft.com o molti altri. Il testo del messaggio è pure variabile, persino nella lingua che può essere inglese, bulgaro o altre, con contenuti variabili: da testi pubblicitari di servizi a inviti a installare una patch di correzione al sistema operativo.

Una delle caratteristiche di mascheramento è che il testo del messaggio spedito dal sistema infetto può contenere parole prese casualmente da un database interno, generando una serie di possibili testi alternativi che rendono il virus difficile da riconoscere a colpo d’occhio, soltanto leggendo il messaggio. Anche il nome del file allegato è totalmente variabile, ma la lunghezza del file con il virus è di solito compresa tra 50 e 80 Kbytes.

Una volta eseguito il file allegato (che può produrre un messaggio di errore innocuo, per fare credere all’utente di avere ricevuto soltanto un qualche file di programma difettoso), il virus si spedisce a tutti gli indirizzi di posta elettronica trovati dai messaggi di posta elettronica già presenti nel sistema infetto. Ovviamente modifica il Registro di Windows per attivarsi in modo automatico ad ogni accensione o avviamento di Windows. Poi tenta di cancellare e rimuovere parecchi software di sicurezza (molti tipi di firewall ed antivirus commerciali, ad esempio) eventualmente in funzione nel sistema. L’azione più grave è comunque la cancellazione di tutti i file sui dischi di sistema.

Tale famiglia di virus è in grado di diffondersi in reti locali: copie del virus vengono infatti installate in tutti i drive condivisi delle reti locali di Windows.

Come sempre, il consiglio è di non eseguire mai programmi allegati a messaggi di posta elettronica se non strettamente necessari, anche se provenienti da persone note, senza avere un antivirus aggiornato che verifichi la posta elettronica e gli allegati. Diffidare assolutamente dai file allegati a messaggi provenienti da mittenti “insoliti” o da persone note che però contengono testi in lingua diversa da quella usata dal nostro corrispondente (la maggior parte dei virus “parla” inglese).

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome