Ho tradotto l'avviso del CERT dall'inglese, spero che la traduzione sia accettabile.


CERT® Advisory CA-99-04-Melissa-Macro-Virus

Data pubblicazione originaria: Sabato 27 Marzo 1999
Ultima revisione: 7:00 PM GMT-5 Lunedì 29 Marzo 1999

Sistemi Colpiti

  • Macchine con Microsoft Word 97 o Word 2000
  • Qualsiasi mail maneggiata dal sistema potrebbe avere problemi di prestazioni o blocco del funzionamento come risultato della propagazione del macro virus.

Panoramica

Approssivativamente alle 14:00 GMT-5 di Venerdì 26 Marzo 1999 abbiamo iniziato a ricevere segnalazioni su un macro virus di Microsoft Word 97 e Word 2000 che si stava propagando attraverso gli allegati (attachments) delle email. Il numero e la varietà di segnalazioni che abbiamo ricevuto indica che questo è un attacco di vaste proporzioni che affligge una moltitudine di siti.

La nostra analisi di questo macro virus indica che l'azione umana (nella forma di un utente che apre un documento Word infetto) è necessaria a questo virus per propagarsi. E' possibile che, con alcune configurazioni del programma di posta elettronica, un utente possa aprire automaticamente un documento infetto ricevuto sotto forma di allegato alla email. Questo macro virus non sembra sfruttare nessuna nuova vulnerabilità. Sebbene il meccanismo di trasporto primario di questo virus sia la posta elettronica, qualsiasi altro modo di trasferimento files può propagare il virus.

I venditori di programmi anti-virus hanno chiamato questo macro virus il macro virus Melissa oppure virus W97M_Melissa.

I. Descrizione

Il macro virus Melissa si propaga sotto forma di un messaggio di posta elettronica contenente come allegato un documento Word infetto. Il messaggio di trasporto è stato quasi sempre segnalato contenere il seguente soggetto (l'intestazione della mail)

Subject: Important Message From <name>

Dove <name> è il nome completo dell'utente che spedisce (a sua insaputa) il messaggio.

Il corpo del messaggio è un messaggio MIME composto da due parti. La prima sezione del messaggio (Content-Type: text/plain) contiene il seguente testo.

Here is that document you asked for ... don't show anyone else ;-)

La prossima sezione (Content-Type: application/msword) all'inizio era segnalata essere un documento chiamato "list.doc". Questo documento contiene indirizzi di siti Web pornografici. Come questo virus si diffonde noi abbiamo notato documenti con nomi differenti. Infatti, in certe condizioni, il virus può generare allegati con documenti creati dalla vittima.

Quando un utente apre un file .doc infetto usando Microsoft Word97 o Word2000, il macro virus viene immediatamente eseguito se le macro sono abilitate.

Sotto l'esecuzione, il virus prima abbassa il livello delle impostazioni di sicurezza sul macro per permettere alle macro di attivarsi quando i documenti vengono aperti in futuro. Perciò l'utente non sarà avvisato quando il virus verrà eseguito nelle applicazioni future.

Il macro poi va a vedere se la chiave di registro

HKEY_Current_User\Software\Microsoft\Office\Melissa?

ha come valore "... by Kwyjibo". Se questa chiave di registro non esiste o non ha il valore uguale a "... by Kwyjibo", il virus procede a diffondersi mandando un messaggio di posta elettronica nel formatio descritto sopra ai primi 50 nominativi in qualsiasi rubrica MAPI di Microsoft Outlook leggibile dall'utente che ha eseguito le macro. Ricorda che se qualcuno di questi nominativi è una mailing list, il messaggio verrà spedito a ciascun indirizzo compreso in tale lista.  Per essere propato con successo, il computer infetto deve avere installato Microsoft Outlook; in ogni caso, non è necessario che sia Outlook il programma usato per leggere i messaggi.

Questo virus non può spedire messaggi sui sistemi MacOS; comunque, il virus si può nascondere su un sistema operativo Macintosc.

In seguito, il macro virus mette alla chiave di registro il valore di "... by Kwyjibo". Il fissaggio di questa chiave di registro causa la propagazione del virus solo una volta per ogni sessione di lavoro. Se la chiave di registro non permane attraverso le sessioni, il virus si propagherà come descritto sopra una volta per ogni sessione quando un utente apre un documento infetto. Se la chiave di registro persiste attraverso le varie sessioni, il virus non temterà più di propagarsi anche se l'utente colpito apre un documento infetto.

Il macro file poi infetta il file Normal.dot. Di default (come impostazione predefinita), tutti i documenti Word utilizzano il "template" Normal.dot; così, ogni nuovo documento Word viene infettato. Alcune versioni non corrette di Word97 possono fidarsi delle macro nei "templates" e possono venire eseguite senza un avviso di pericolosità. Per ulteriori informazioni leggi:

http://www.microsoft.com/security/bulletins/ms99-002.asp

Infine, se a questo punto il minuto dell'ora coincide con il giorno del mese, il macro virus inserisce nel documento aperto il messaggio "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."

Nota che se apri un documento infetto con le macro disabilitate e guardi alla lista delle macro in quel documento, né Word97 né Word2000 elencano la macro. Il codice è il codice VBA (Visual Basic for Applications) associato al metodo "document.open". Puoi vedere il codice andando sull'editor Visual Basic.

Se ricevi uno di questi messaggi, ricordati che il messaggio proviene da qualcuno affetto da tale virus e che tu non sei necessariamente un loro bersaglio. Noi ti invitiamo a contattare ogni utente dal quale hai ricevuto tale messaggio. Inoltre, noi siamo interessati a capire lo scopo di questa attività; perciò apprezzeremmo che vogliate riferirci quasiasi caso di questà attività di cui veniate a conoscenza conformemente al nostro documento Incident Reporting Guidelines, che si trova a:

http://www.cert.org/tech_tips/incident_reporting.html

II. Impatto

  • Gli utenti che aprono un documento infetto in Word97 o Word2000 con le macro abilitate infetteranno il file di configurazione Normal.dot causando ad ogni documento che attinga a questo file un'infezione con questo macro virus. Se il documento infetto viene aperto da un altro utente, il documento, incluso il macro virus, si propagherà. Nota che questo potrebbe causare che il documento dell'utente venga diffuso al posto del documento originale, e perciò distribuire informazioni riservate.
  • Indirettamente, questo virus può causare un rifiuto del servizio nei server di posta elettronica. Molti grandi siti hanno riportato problemi di funzionamento con i loro server di posta come risultato della propagazione di questo virus.

III. Soluzioni

Bloccare i messaggi firmati da questo virus agli agenti di trasferimento della posta o ad un altro punto centrale di controllo.

Utilizzare programmi anti-virus

La maggior parte dei programmi anti-virus troveranno e rimuoveranno i macro virus. Per trovare e rimuovere i virus correnti devi tenere aggiornati i tuoi programmi anti-virus attraverso i file di aggiormento più recenti.

Incoraggiare gli utenti del tuo sito a disabilitare le macro in Microsoft Word

Notifica a tutti i tuoi utenti il problema e convincili a disabilitare le macro in Word. Potresti anche suggerirgli di disabilitare le macro in qualsiasi prodotto che contenga un linguaggio macro dato che questo tipo di problemi non si limita a Microsoft Word.

In Word97 puoi disabilitare l'esecuzione automatica delle macro (clicca Strumenti/Opzioni/Generale e poi attiva la casella 'Protezione dai macro virus'). In Word2000 l'esecuzione delle macro è controllata da un livello di sicurezza variabile simile a quello di Internet Explorer (clicca su Strumenti/Macro/Sicurezza e scegli Alto, Medio, o Basso). In questo caso, 'Alto' ignora senza avvisare il codice VBA, il Medio ti chiede di abilitare o disabilitare il codice VBA come fa Word97, e 'Basso' lo esegue.

Word2000 supporta Authenticode per il codice VB. Nel settare 'Alto' puoi specificare siti di cui ti fidi ed i codici provenienti da questi siti saranno eseguiti.

Protezione Generale contro i Macro Virus di Word

Per informazioni sui macro virus in generale, noi invitiamo a leggere il documento "Free Macro AntiVirus Techniques" di Chengi Jimmy Kuo che è raggiungibile a
http://www.nai.com/services/support/vr/free.asp

Ulteriori Informazioni

Ringraziamenti

Vorremmo ringraziare Jimmy Kuo del Network Associates, Eric Allman e Nick Christenson di sendmail.com, Dan Schrader di Trend Micro, Jason Garms e Karan Khanna della Microsoft, Ned Freed di Innosoft, e John Hardin per aver ottenuto informazioni usate in questo avviso.

In aggiunta vorremmo ringraziare i molti siti che hanno riportato questa attività.


Il documento originale in inglese è disponibile all'indirizzo: http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html.


Le pubblicazioni del CERT e altre informazioni sulla sicurezza sono disponibili al nostro sito Web http://www.cert.org/.

* "CERT" e "CERT Coordination Center" sono marchi registrati all'U.S. Patent and Trademark Office.


Tradotto da Carlo Carmagnini - http://carcar.ztl.it/
 
Torna al menu