Menu

Osservatorio Astrofisico di Arcetri

Virus inviati per posta elettronica

Luca Fini (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.) 

3 dicembre 2001
Aggiornato: 5 settembre 2005 


 

 


Poiché il fenomeno si sta verificando con frequenza crescente credo che sia opportuno fare un po' di chiarezza circa i cosiddetti "virus" che vengono trasmessi tramite allegati a messaggi di posta elettronica. Per la precisione si tratta di eventi più propriamente chiamati "troian horse", ovvero cavalli di Troia, piuttosto che di virus, ma ho utilizzato il termine virus perché maggiormente usato.

Come si presentano

In generale i virus vengono inviati come allegati (attachment) di messaggi di posta elettronica contraffatti. Poiché i messaggi contraffatti vengono utilizzati anche per altri tipi di attacco, ne diamo una descrizione in un documento apposito.

I messaggi con virus hanno invariabilmente un allegato che ne costituisce il vero scopo: si tratta infatti di un programma eseguibile destinato a compiere l'azione dannosa.

Spesso l'allegato è dichiarato di tipo "JPG", "GIF" o "WAV" e sembra quindi un immmagine, un file sonoro o una animazione, ma è in effetti un programma eseguibile.

Nota: I files eseguibili sono di vari tipi, non solo quindi i files *.EXE, ma anche: *.COM, *.VBS, *.BAT, *.PIF, *.SCR, ed altri.


Di solito il testo del messaggio è destinato a giustificare la presenza dell'allegato e a convincere il destinatario ad aprirlo.

Come agiscono

Tutti i programmi di questo tipo fin'ora segnalati sono mirati a sistemi Windows ed alcuni di essi utilizzano problemi noti di Outlook e Outlook Express. La tecnica è però facilmente applicabile a tutti i sistemi operativi ed a tutti i programmi di posta elettronica; nessuno può quindi ritenersi immune solo perché usa un dato sistema operativo o un dato browser di posta elettronica. In particolare qualunque browser di posta elettronica consente di lanciare un programma inviato come allegato.

Per entrare in funzione il programma inviato come allegato deve essere mandato in esecuzione; Ciò può avvenire volontariamente (è il caso più frequente) perché il ricevente effettivamente impartisce un comando di esecuzione o "clicca" sull'icona ritenendo che si tratti di un programma innocuo, oppure involontariamente.

Nota: I nomi dei file allegati sono studiati per trarre in inganno. Ad esempio il nome può essere del tipo: "IMAGE.GIF .EXE", che ha apparentemente una estensione .GIF ma in realtà termina per .EXE, anche se la cosa sfugge perché il nome contiene una lunga sequenza di spazi e la vera estensione finisce fuori dallo schermo. Recentemente ho ricevuto un mail con un allegato di nome www.yahoo.com. È evidente che il nome è studiato in modo che sembri un link al noto sito Yahoo, mentre è in effetti un nome di file che termina per .COM e quindi che viene mandato in esecuzione con un semplice "click".

In alcuni casi il programma Outlook Express può essere configurato in modo da ignorare il tipo di allegato dichiarato ed invece basarsi su una analisi indipendente del file per decidere l'azione; quindi un allegato può essere dichiarato di tipo GIF, ma contenere invece codice eseguibile che viene riconosciuto e mandato in esecuzione "cliccando" sull'icona.

Infine alcuni virus riescono a sfruttare "bug" (errori) nel programma di visualizzazione della posta elettronica, normalmente legati a qualche funzione "automatica" (ad esempio le funzioni di "anteprima" di immagini allegate al messaggio). In questo caso il virus può essere eseguito anche automaticamente.

La maggior parte dei virus che sfruttano errori di questo tipo agiscono solo se si usano alcune versioni di Outlook ed Outlook Express. Presso il sito Web della Microsoft sono disponibili le informazioni relative alle versioni vulnerabili e le "patch" per correggere l'errore.

Quello che accade in seguito all'esecuzione varia da caso a caso. Nei casi più frequenti il programma scrive sul monitor un messaggio di errore ed apparentemente fallisce, invece rimane attivo indefinitamente (nonché viene rilanciato ad ogni bootstrap) ed invia messaggi agli indirizzi trovati nell'indirizzario, componendoli utilizzando brani di messaggi trovati nei folder. Ad ogni messaggio è ovviamente allegata una copia del programma, con vari nomi di fantasia. In qualche caso viene invece mandato un messaggio prefissato, con una richiesta di aiuto o di consiglio.


Come evitarli

La prevenzione è la forma più importante di difesa, ed anche quella meno onerosa.

L'uso di un antivirus rappresenta solitamente una buona protezione purché si tengano presenti due aspetti:

  • L'antivirus è realmente sicuro solo se mantenuto costantemente aggiornato (ad esempio settimanalmente).
  • L'uso di un antivirus può essere addirittura dannoso se da all'utilizzatore un falso senso di sicurezza inducendolo a trascurare le norme elementari di precauzione che sono discusse sotto. 

Nella maggior parte dei casi il virus entra in azione per una errata o inconsapevole manovra di chi lo riceve, quindi innanzitutto è importante conoscere bene il funzionamento del programma di posta elettronica che si usa. Occorre sapere come si presentano i vari tipi di allegato, come si fa per estrarli senza mandarli in esecuzione, come cancellarli, come verificare lo header, etc.

È anche assai importante disabilitare tutte le funzioni "automatiche", ad esempio quelle di "anteprima" che si trovano in alcuni programmi di posta elettronica (ad es.: Outlook). Anzi sarebbe assai consigliabile non utilizzare programmi di posta elettronica che consentano operazioni di tipo automatico.

Quando si riceve un messaggio "sospetto", la cosa migliore è ignorarlo e cancellarlo. È un rimedio semplice, economico e totalmente efficace.

Nota: In ogni caso è buona norma avvertire il corrispondente di aver ricevuto il probabile virus in modo che ne sia almeno consapevole. Occorre però tenere presente che l'indirizzo di provenienza può essere contraffatto e che quindi non è detto che il mittente dichiarato sia quello effettivo.


Se proprio non si può fare a meno di resistere alla curiosità è bene, prima di mandare in esecuzione il programma, attenersi alle seguenti regole:

  • Chiedere conferma al mittente dell'avvenuto invio consapevole di un programma eseguibile.

  • Chiedere al mittente la provenienza del programma e valutare attentamente l'attendibilità della risposta: in qualche caso il mittente può essere inconsapevole di ospitare un virus o non avere a sua volta ben valutato l'affidabilità della fonte di un programma. 

  • Effettuare l'estrazione del file dal messaggio in modo manuale. È bene che l'operazione sia fatta solo da chi conosce bene il funzionamento del programma di posta elettronica per evitare che il virus sia mandato in esecuzione inavvertitamente. 

  • Non affidarsi al risultato di una scansione del programma con un antivirus: spesso gli antivirus sono sostanzialmente inefficaci nei confronti di questi programmi. 

  • Chiedere ad un conoscente di eseguire il programma sul proprio PC: cosí eventualmente gli effetti li subisce lui :-).

Come verificare l'avvenuta infezione ed eliminarla

Anche se un antivirus può fallire nel riconoscimento del programma estratto dall'allegato, dovrebbe essere invece in grado di verificare la presenza dell'infezione dopo che è avvenuta. Una scansione di tutto il disco dovrebbe quindi consentire di rivelarne la presenza.

Se il messaggio rimane in qualche folder (cartella) è abbastanza facile riconoscerlo, ma occorre tenere presente che il messaggio potrebbe essere arrivato tempo addietro ed essere stato cancellato e dimenticato.

Inoltre, poichè una delle azioni più comuni dei virus consiste nel replicarsi inviando messaggi con allegati agli indirizzi trovati sul PC infettato, prima o poi qualcuno dei corrispondenti abituali finirà per avvertire (magari con tono seccato) di aver ricevuto un messaggio con virus.

Non appena si ha il sospetto dell'avvenuta infezione occorre immediatamente scollegare il PC dalla rete in modo da impedire che continui ad inviare i messaggi di "contagio" e non ricollegarlo fino a che il problema non sia sicuramente risolto.

In molti casi un antivirus recente dovrebbe riuscire ad individuare e eliminare il virus. Tuttavia occorre tenere presente che questa operazione non da garanzia assoluta anche perché alcuni virus sono dotati di un meccanismo di "mutazione" rapida per aggirare i meccanismi di riconoscimento.

In qualche caso l'unico modo per eliminare il problema consiste nel cancellare totalmente il contenuto dei dischi e reinstallare da zero il sistema operativo. Si tratta ovviamente di una operazione estrema, altamente indesiderabile e che rende chiaro come sia importante la prevenzione.

Cosa fare quando ci segnalano che un nostro messaggio contiene un virus

Prima di tutto conviene verificare chi ha inviato la segnalazione.

Se si tratta di una persona conviene contattarla e chiederle di verificare nell'header del messaggio che questo provenga effettivamente dal proprio PC e che non si tratti di un caso di indirizzo del mittente contraffatto.

Se si tratta di un sistema automatico, conviene verificare con maggior cura che la segnalazione sia corretta; in molti casi, infatti, i sistemi automatici inviano un messaggio di avviso all'indirizzo che trovano nel campo "From". Come abbiamo visto, però, tale campo può essere contraffatto e quindi accade sovente che l'avviso arrivi a qualcuno che non ha niente a che fare con il virus. Più in dettaglio:

  • Ugo ha preso un virus, ed ha nel proprio indirizzario l'indirizzo e-mail di Carlo.

  • Il virus dal PC di Ugo manda messaggi cercando di diffondersi ed utilizza l'indirizzo di Carlo come falso indirizzo di provenienza.

  • Uno dei server che ricevono il messaggio con virus lo rivela e manda un avviso al presunto indirizzo di provenienza, ovvero a Carlo, del tutto ignaro.

Ovviamente può accadere che il vostro PC sia effettivamente stato contagiato da un virus, e ciò potrebbe essere verificato facilmente purché sia disponibile (al solito) l'header completo del messaggio con il presunto virus. Normalmente i messaggi automatici includono l'header del messaggio (altrimenti sarebbero del tutto inutili). Se nell'header, in uno dei campi "Received" compare come provenienza il numero IP del vostro PC (ovvero, nel caso di PC nella rete di Arcetri, un numero del tipo 193.206.154.x, oppure 193.206.155.x), avete con tutta probabilità contratto davvero il virus e dovete procedere immediatamente all'eliminazione.