Ho tradotto l'avviso del CERT dall'inglese, spero che la traduzione sia accettabile.
Data pubblicazione originaria: Sabato 27 Marzo 1999
Ultima revisione: 7:00 PM GMT-5 Lunedì 29 Marzo 1999
Approssivativamente alle 14:00 GMT-5 di Venerdì 26 Marzo 1999 abbiamo iniziato a ricevere segnalazioni su un macro virus di Microsoft Word 97 e Word 2000 che si stava propagando attraverso gli allegati (attachments) delle email. Il numero e la varietà di segnalazioni che abbiamo ricevuto indica che questo è un attacco di vaste proporzioni che affligge una moltitudine di siti.
La nostra analisi di questo macro virus indica che l'azione umana (nella forma di un utente che apre un documento Word infetto) è necessaria a questo virus per propagarsi. E' possibile che, con alcune configurazioni del programma di posta elettronica, un utente possa aprire automaticamente un documento infetto ricevuto sotto forma di allegato alla email. Questo macro virus non sembra sfruttare nessuna nuova vulnerabilità. Sebbene il meccanismo di trasporto primario di questo virus sia la posta elettronica, qualsiasi altro modo di trasferimento files può propagare il virus.
I venditori di programmi anti-virus hanno chiamato questo macro virus il macro virus Melissa oppure virus W97M_Melissa.
Il macro virus Melissa si propaga sotto forma di un messaggio di posta elettronica contenente come allegato un documento Word infetto. Il messaggio di trasporto è stato quasi sempre segnalato contenere il seguente soggetto (l'intestazione della mail)
Subject: Important Message From <name>
Dove <name> è il nome completo dell'utente che spedisce (a sua insaputa) il messaggio.
Il corpo del messaggio è un messaggio MIME composto da due parti. La prima sezione del messaggio (Content-Type: text/plain) contiene il seguente testo.
Here is that document you asked for ... don't show anyone else ;-)
La prossima sezione (Content-Type: application/msword) all'inizio era segnalata essere un documento chiamato "list.doc". Questo documento contiene indirizzi di siti Web pornografici. Come questo virus si diffonde noi abbiamo notato documenti con nomi differenti. Infatti, in certe condizioni, il virus può generare allegati con documenti creati dalla vittima.
Quando un utente apre un file .doc infetto usando Microsoft Word97 o Word2000, il macro virus viene immediatamente eseguito se le macro sono abilitate.
Sotto l'esecuzione, il virus prima abbassa il livello delle impostazioni di sicurezza sul macro per permettere alle macro di attivarsi quando i documenti vengono aperti in futuro. Perciò l'utente non sarà avvisato quando il virus verrà eseguito nelle applicazioni future.
Il macro poi va a vedere se la chiave di registro
HKEY_Current_User\Software\Microsoft\Office\Melissa?
ha come valore "... by Kwyjibo". Se questa chiave di registro non esiste o non ha il valore uguale a "... by Kwyjibo", il virus procede a diffondersi mandando un messaggio di posta elettronica nel formatio descritto sopra ai primi 50 nominativi in qualsiasi rubrica MAPI di Microsoft Outlook leggibile dall'utente che ha eseguito le macro. Ricorda che se qualcuno di questi nominativi è una mailing list, il messaggio verrà spedito a ciascun indirizzo compreso in tale lista. Per essere propato con successo, il computer infetto deve avere installato Microsoft Outlook; in ogni caso, non è necessario che sia Outlook il programma usato per leggere i messaggi.
Questo virus non può spedire messaggi sui sistemi MacOS; comunque, il virus si può nascondere su un sistema operativo Macintosc.
In seguito, il macro virus mette alla chiave di registro il valore di "... by Kwyjibo". Il fissaggio di questa chiave di registro causa la propagazione del virus solo una volta per ogni sessione di lavoro. Se la chiave di registro non permane attraverso le sessioni, il virus si propagherà come descritto sopra una volta per ogni sessione quando un utente apre un documento infetto. Se la chiave di registro persiste attraverso le varie sessioni, il virus non temterà più di propagarsi anche se l'utente colpito apre un documento infetto.
Il macro file poi infetta il file Normal.dot. Di default (come impostazione predefinita), tutti i documenti Word utilizzano il "template" Normal.dot; così, ogni nuovo documento Word viene infettato. Alcune versioni non corrette di Word97 possono fidarsi delle macro nei "templates" e possono venire eseguite senza un avviso di pericolosità. Per ulteriori informazioni leggi:
www.microsoft.com/security
Infine, se a questo punto il minuto dell'ora coincide con il giorno del mese, il macro virus inserisce nel documento aperto il messaggio "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."
Nota che se apri un documento infetto con le macro disabilitate e guardi alla lista delle macro in quel documento, né Word97 né Word2000 elencano la macro. Il codice è il codice VBA (Visual Basic for Applications) associato al metodo "document.open". Puoi vedere il codice andando sull'editor Visual Basic.
Se ricevi uno di questi messaggi, ricordati che il messaggio proviene da
qualcuno affetto da tale virus e che tu non sei necessariamente un loro bersaglio.
Noi ti invitiamo a contattare ogni utente dal quale hai ricevuto tale messaggio.
Inoltre, noi siamo interessati a capire lo scopo di questa attività; perciò
apprezzeremmo che vogliate riferirci quasiasi caso di questà attività di cui
veniate a conoscenza conformemente al nostro documento Incident Reporting
Guidelines, che si trova a:
www.cert.org/tech_tips
Nick Christenson di sendmail.com ha scritto alcune informazioni su come
configurare sendmail affinché filtri (e non scarichi) i messaggi che potrebbero
contenere il virus Melissa. Queste informazioni sono raggiungibili all'URL:
http://www.sendmail.com
Maggiori informazioni sono disponibili su:
ftp://ftp.rubyriver.com
Maggiori informazioni sono disponibili su:
http://www.innosoft.com/iii
La maggior parte dei programmi anti-virus troveranno e rimuoveranno i macro virus. Per trovare e rimuovere i virus correnti devi tenere aggiornati i tuoi programmi anti-virus attraverso i file di aggiormento più recenti.
Versione delfile che contiene le firme dei virus che scopre e cura anche il virus melissa.
| Windows NT 3.x & 4.x | 4.19d |
| Windows 95 | 4.19e |
| Windows 98 | 4.19e |
| Windows 3.1 | 4.19e |
| Netware 3.x, 4.x & 5.0 | 4.19e |
Ciascuno dei files di firme dei virus può essere scaricato da:
http://www.support.cai.com
http://vil.mcafee.com/vil/vm10118.asp
http://www.avertlabs.com
http://housecall.antivirus.com/
Notifica a tutti i tuoi utenti il problema e convincili a disabilitare le macro in Word. Potresti anche suggerirgli di disabilitare le macro in qualsiasi prodotto che contenga un linguaggio macro dato che questo tipo di problemi non si limita a Microsoft Word.
In Word97 puoi disabilitare l'esecuzione automatica delle macro (clicca Strumenti/Opzioni/Generale e poi attiva la casella 'Protezione dai macro virus'). In Word2000 l'esecuzione delle macro è controllata da un livello di sicurezza variabile simile a quello di Internet Explorer (clicca su Strumenti/Macro/Sicurezza e scegli Alto, Medio, o Basso). In questo caso, 'Alto' ignora senza avvisare il codice VBA, il Medio ti chiede di abilitare o disabilitare il codice VBA come fa Word97, e 'Basso' lo esegue.
Word2000 supporta Authenticode per il codice VB. Nel settare 'Alto' puoi specificare siti di cui ti fidi ed i codici provenienti da questi siti saranno eseguiti.
Per informazioni sui macro virus in generale, noi invitiamo a leggere il
documento "Free Macro AntiVirus Techniques" di Chengi Jimmy Kuo
che è raggiungibile a
http://www.nai.com/services
Ringraziamenti
Vorremmo ringraziare Jimmy Kuo del Network Associates, Eric Allman e Nick Christenson di sendmail.com, Dan Schrader di Trend Micro, Jason Garms e Karan Khanna della Microsoft, Ned Freed di Innosoft, e John Hardin per aver ottenuto informazioni usate in questo avviso.
In aggiunta vorremmo ringraziare i molti siti che hanno riportato questa attività.
Il documento originale in inglese è disponibile all'indirizzo: http://www.cert.org/advisories
Le pubblicazioni del CERT e altre informazioni sulla sicurezza sono disponibili al nostro sito Web http://www.cert.org/.
* "CERT" e "CERT Coordination Center" sono marchi registrati all'U.S. Patent and Trademark Office.