Lo “Storm worm” cambia ancora pelle ed augura dapprima un buon Natale e poi un felice 2008. L’obiettivo dei suoi autori sembra essere quello di creare una delle “botnet” più grandi mai esistite. E per raggiungere questo scopo, vengono messe in campo tecniche di ingegneria sociale, nel tentativo di indurre l’utente ad eseguire l’allegato nocivo, abbinato ad un messaggio di auguri “maligno”.
Attenzione quindi alle e-mail che arrivano da “Mrs. Clause” e che promettono un Natale… piccante. Ma dopo Natale e Santo Stefano, gli autori dello “Storm worm” si sono immediatamente aggiornati avviando la diffusione di un’e-mail nociva attraverso la quale si cerca di indurre i più incauti a scaricare un file dannoso unendo gli auguri per un felice anno nuovo.
Ciò che più impressiona è il numero di varianti del malware (se ne contano al momento centinaia) in circolazione. In queste ore, i vari produttori antivirus stanno provvedendo a classificarle, con non poche difficoltà, e ad aggiornare gli archivi delle definizioni virali (i nomi con cui le varianti di “Storm worm” vengono rilevate sono Zhelati, Dorf e Nuwar.
Il worm “Storm” si è presentato, dai primi di Gennaio ad oggi, sotto le spoglie più disparate: via e-mail, per indurre l’utente ad aprire l’allegato nocivo, il worm ha utilizzato tecniche di ingegneria sociale veicolando false notizie meteorologiche (sfruttando l’interesse dell’opinione pubblica per gli aggiornamenti relativi all’uragano abbattutosi sull’Europa settentrionale ad inizio anno), riportando indiscrezioni sul fatto che Saddain Hussein fosse ancora in vita, sulla morte di Fidel Castro. “Storm worm” si è fatto poi foriero di falsi messaggi “sexy” e di “cartoline virtuali” decisamente pericolose. Alcune varianti hanno poi iniziato ad infettare anche i forum online. Il malware veicolato da “Storm”, una volta insediatosi sul sistema dell’utente, vi si installava sotto forma di LSP (“Layered Service Provider”). Come un parassita, il malware diveniva così in grado di intercettare ed analizzare tutto il traffico di rete intervenendo attivamente sui pacchetti in uscita. Ogniqualvolta veniva rilevato l’invio, da parte dell’utente di un messaggio su un forum di discussione vBulletin o phpBB il malware, agendo a basso livello, provvedeva ad aggiungere automaticamente link ad oggetti pericolosi. Il worm poteva anche modificare i testi di messaggi di posta elettronica inviati da web tramite i servizi GMail, Yahoo Mail, AOL e simili.
Più di recente, lo “Storm worm” ha iniziato a camuffarsi da video di YouTube ed a prendere di mira anche i blog. Alcune varianti del worm sono infatti in grado di accedere agli account degli utenti di BlogSpot e creare nuovi blog con link a componenti trojan.
Heise Security stima che, ad inizio Agosto, già 1,7 milioni di sistemi facessero parte della “botnet” creata dallo “Storm worm” e mette in allerta sui possibili rischi: “sebbene la rete creata sia impiegata principalmente per l’invio di spam, tra gli utilizzi possibili vi sono anche attacchi DoS verso istituzioni, aziende ed addirittura interi Paesi”.
Segnaliamo anche un’e-mail di auguri che sta circolando in queste ore ma che sembra non avere a che fare con lo “Storm worm”: è formattata in HTML e redatta in un italiano piuttosto stentato (“Buona sera, cari! Anna invia ti eCard con saluti. Controlla il tuo attaccamento (in luogo di “allegato”, n.d.r.)”. Nessun saluto, nessun augurio. Abbiamo a che fare con un malware in grado di effettuare il download di ulteriori componenti dannosi dalla Rete. Cautela.