Virus: ? arrivato Sasser, il worm erede di Blaster

Si fanno i conti dei danni causati dal virus Sasser diffusosi velocemente a partire da ieri mattina. Secondo gli esperti le stime sui pc colpiti variano da 3 a 18 milioni sui 600 milioni di computer esistenti al mondo. Il worm ha colpito istituzioni e aziende: all'estero ? rimasto bloccato l'aeroporto di Dubay, infettati i computer delle istituzioni europee a Bruxelles. In Italia sono stati colpiti i sistemi del Viminale, e gli uffici delle Ferrovie dello Stato. Symantec ha fornito un tool per verificare la presenza del worm sul proprio pc e per rimuoverlo. Anche Microsoft ha rilasciato nelle ultime ore un programmino analogo scaricabile gratuitamente per rimuovere il virus, nel caso in cui il sistema sia stato infettato. Come aveva gia' fatto all'inizio dell'anno con il virus informatico Mydoom, Microsoft ha messo a disposizione una taglia da 250 mila dollari per chiunque offra informazioni sull'autore di Sasser, che sta attaccando i pc di tutto il mondo.

Le modalit? di infezione adottate sono simili a quelle utilizzate l'estate scorsa da parte del pi? noto Blaster. Il worm che si diffonde tramite posta elettronica sfrutta una vulnerabilit? scoperta recentemente nei sistemi operativi Windows e per la quale Microsoft ha rilasciato (il 13 aprile scorso) un'apposita patch risolutiva (MS04-011). Ma quanti pc sono protetti? Il virus ? scritto in linguaggio Visual C++ e scansiona indirizzi Ip casuali attraverso la porta 445 Tcp. Se il worm trova un sistema “non patchato”, copia un file chiamato “avserve.exe” nella cartella C:\Windows o in C:\Winnt e inoltre crea il file “win.log” sulla partizione principale del proprio hard disk. Proprio su questo file vengono memorizzate tutte le informazioni sulla macchina infettata. Per “autoeseguirsi” a ogni avvio del pc infetto, Sasser si aggiunge alla lista dei programmi in esecuzione automatica. Sul sistema infetto comparir? spesso a video una finestra simile a quella visualizzata in seguito a un'infezione da worm Blaster: si viene avvisati di salvare tutto il lavoro in quanto la macchina verr? riavviata. Per evitare l'infezione ? necessario accertarsi di aver installato la patch MS04-011 e di avere aggiornato il proprio antivirus. Il virus interessa esclusivamente i sistemi Windows 2000, Windows XP e Windows Server 2003.

Tutte le informazioni relative al virus e alle contromisure necessarie per annullarne gli effetti sono disponibili sul sito della societ? di Bill Gates. Microsoft ha invitato i propri utenti a iscriversi al servizio gratuito di notifica degli aggiornamenti, attraverso il proprio sito sulla sicurezza, per essere sempre informati in tempo reale sul rilascio di patch e su situazioni di particolare criticit?. In rete esistono inoltre numerosi antivirus gratuiti come Avast, Avg, Clrav.