Il nuovo virus che terrorizza i terrestri da Venerdì 26 Marzo 1999
Melissa, you made a fool of everyone
Melissa è un virus nuovo, in circolo da poco tempo ma ha già mietuto alcune vittime. Sicuramente fra questi i server di posta che si sono ritrovati con un eccesso di corrispondenza da "smistare" portandoli in alcuni casi alla necessità di un momentaneo stop. Comunque questo virus Melissa non è un mostro e non mangia il PC. Dato che ne stanno parlando tutti, anche alla televisione, che come al solito ne parla male, nel senso che si sentono più cazzate quando nel piccolo schermo parlano di Internet che ad un congresso politico. Cerchiamo di affrontare il problema coi piedi per terra e le mani sulla tastiera.
Di virus che circolano su Internet, sui dischetti, ce ne sono a migliaia, ne nascono circa 6 al giorno. Anche nel mondo reale esistono migliaia di virus, ma non è detto che per questo li dobbiamo prendere tutti noi. La prima regola per evitare un virus è non aprire gli allegati alle mail che riceviamo se non li abbiamo prima controllati con un anti-virus. Non riguarda le immagini ed i file di solo testo (txt). I virus di solito si trovano nei file eseguibili e nei documenti Word.
Melissa è proprio un file Word, dal nome list.doc, il quale contiene un elenco di siti pornografici, che viene ricevuto come allegato (attach) alla mail infetta che riceviamo. Se aprite la mail NON succede nulla, il virus NON entra in azione. Esso provocherà danni SOLO se aprirete il file Word infetto. Ecco perché è una stronzata allo stato attuale dire "non aprite le mail di cui non conoscete il mittente", "cestinate ogni cosa", "il virus vi sbrana il PC appena vi collegate ad Internet" eccetera. Il Virus è innocuo fino a che non fate un doppio click sul file allegato per aprirlo. Fino a quel momento potete sfotterlo, denigrarlo, umiliarlo, inveirci contro, l'importante è che non lo apriate. Tutto qui, basta questa piccola attenzione e tutto l'allarmismo viene di botto cancellato. Mi raccomando, la lista dei siti porno contenuti nel file non vale il prezzo di un'intrusione indesiderata nel computer, con tutti i danni che seguono. Per scoraggiare gli audaci ecco qui il sito di solo links più famoso ("Il mio preferito", Bill; "Adesso si sfoga lì" Hillary): Persian Kitty. Però anche nei siti collegati potrebbero esserci sgradite sorprese, attenti ai files sospetti – se un file si chiama virus.exe sarà bene non scaricarlo :-).
Se disgraziatamente si è aperto il file infetto, ormai il virus
è entrato in circolo, ed allora son... problemi seri, ma non troppo, almeno
per il vostro pc. Melissa, con fare ammiccante, si introduce nella rubrica di
MS Outlook (programma per Windows di cui potreste anche fare a meno, optando
per uno più decente, scusate la divagazione, NDR) e prende 50 indirizzi di e-mail
a cui spedisce (sensa il vostro consenso) una copia della mail infetta che risulterà
così spedita da voi.
"Important Message From" recita infatti l'intestazione del messaggio
incriminato (e il mittente siete proprio voi), e poi nel corpo del messaggio
si legge una frase sibillina: "Here is that document you asked for ...
don't show anyone else ;-)". Molti dei destinatari già con la bava allla
bocca si precipitano ad aprire il messaggio fidandosi di voi senza dubitare
di nulla. Venerdì molte aziende americane hanno dovuto chiudere i loro server
di posta proprio a causa del virus Melissa, che aveva intasato i loro cervelloni
con una quantità straordinaria di posta.
Melissa, questa perfida macro, si sta diffondendo molto rapidamente. Sembra che infatti il virus si sia mostrato solo Venerdì 26, in USA. Da ogni computer infettato Melissa si rispedisce autonomamente ai primi cinquanta indirizzi di posta elettronica presenti nella rubrica di Outlook, e se se tra essi c'è una mailing list, potete ben capire il caos: tutti quelli che ne fanno parte riceveranno un messaggio con l'allegato infetto. Ecco un'altra fregatura, per alcune fonti invece di limitarsi agli utenti Outlook riesce a scovare gli indirizzi anche dagli altri programmi di posta, ma questo è smentito da altri (leggi più sotto). Le notizie sul virus sono poche ed imprecise proprio perché si è manifestato da pochi giorni e non abbiamo ancora le analisi degli esperti.
Sempre secondo gli esperti l'attach potrebbe cambiare nome e
inserirsi nei file Word già esistenti nell'hard disk. Il virus infatti modifica
"normal.dot", il file che determina le caratteristiche generali di
tutti i documenti prodotti con Word.
Viene anche disattivata la funzione del programma che mette in allerta l'utente
prima di aprire le macro (vedi Strumenti, Opzioni, Standard), la casella "attiva
protezione macro" deve essere sempre spuntata (attivata). Per maggiori
informazioi leggi "Come agisce", sotto.
E' stato poi trovato l'autore del virus. Un giovane americano che voleva incasinare
gli utenti di software Microsoft.
Un gesto stupido ed inutile perché i programmi Microsoft non hanno certo
bisogno di aiuti esterni per fare casini, è facile far affondare una
bagnarola che imbarca acqua da ogni parte!
La vera sfida sarebbe stata quella di rendere MS Outlook un programma funzionante
e serio. Nessuno ci riuscirà mai. ;-)
Questo virus lavora sia con Word 97 che con Word 2000 e la macro è attivata quando viene chiuso un documento infetto. Se è attivato in Word 2000, abbasserà il livello di protezione al minimo modificando il registro e disabiliterà i comandi del menù di Word (Macro/Security) che permettono all'utente di ristabilire i parametri di sicurezza.
In Word97 il virus disabilita i comandi del menù Strumenti/Macro,
l'opzione "Confirm Conversion", la protezione contro i macro virus
e il comando "Save Normal Template".
Il virus poi guarda se nella chiave di registro "HKEY_CURRENT_USER\Software\ Microsoft\Office\Melissa?"
è contenuto il valore ". . . by Kwyjibo". Questo è il modo in cui il
virus capisce se si è attivato nel sistema. In seguito il virus va in Outlook,
se è presente sul PC, e spedisce un messaggio ai primi 50 nomi della Rubrica.
Questo messaggio avrà come soggetto: "Important Message From {vostro
nome}" e il messaggio contenuto nella mail sarà "Here is that
document you asked for . . . don't show anyone else :-)". A questo messaggio
verrà allegato il file infetto col nome List.doc, ma il nome potrebbe anche
essere diverso. Naturalmente una persona sveglia dovrebbe già sospettare qualcosa,
come mai Gustavo, che a mala pena biascica l'italiano, vi manda una mail scritta
in inglese?
Non vorrei sbilanciarmi, ma le uniche fonti che dicono che il virus non si limita
ad Outlook sono solo italiane, ora, fra servi della Microsoft e sproloquiatori,
c'è una grande possibilità che ciò non corrisponda al vero. Dagli Stati Uniti infatti
viene la conferma che il virus lavora solo con Outlook, e chi non lo ha non
avrà problemi. Dunque utenti di Eudora, Pegasus mail ed affini prendete (prendiamo)
un bel respiro di sollievo. Naturalmente il file va COMUNQUE cancellato e non
eseguito.
Ma se usate Outlook allora a questo punto Melissa, dopo aver concluso il suo
lavoro, lascia la firma nellla chiave del registro citato sopra scrivendoci
". . . by Kwijibo", come conclusione con successo dell'operazione
di disturbo.
Dopo, stanca ma non sazia, guarda se i documenti attivi sono infetti e se non
lo sono, senza dubbi né rimorsi, colma subito la lacuna. Alla fine, se il giorno
del mese è uguale al minuto (ad esempio, se è il 14 Giugno alle 5:14 pm), il
virus scriverà la seguente frase nel documento attivo: "Twenty-two points,
plus triple-word-score, plus fifty points for using all my letters. Game's over.
I'm outta here".
Che classe questa Melissa!
Ultimo aggiornamento: 15 aprile 1999