Vorrei segnalarvi la circolazione di un nuovo virus estremamente minaccioso, denominato "Power-Off" o "pHiSh", che è stato recentemente rilevato da alcuni esperti. Purtroppo, in ossequio alle nuove leggi sul "responsible disclosure", l'annuncio ufficiale di questa vulnerabilità non può essere dato dai siti dedicati alla sicurezza se non dopo almeno due settimane dalla segnalazione alle aziende il cui prodotto è risultato vulnerabile: quindi, visto che il problema è stato comunicato oggi 1 aprile alle aziende, gli utenti sono vulnerabili e totalmente indifesi almeno fino al 14/4.

Di solito rispetto questa legge, anche se è estremamente discutibile, ma stavolta, vista la serietà della minaccia, non me la sono sentita di lasciarvi alla mercè del primo pirata che passa per ben due settimane. Mi premeva avvisarvi prima che il virus cominciasse a mietere vittime.

Niente panico: il virus è potente, ma lo si ferma con alcune semplici contromisure che trovate in fondo a questo avviso.

Il salto tecnologico è questo: la capacità di colpire qualsiasi sistema operativo. Infatti sappiamo tutti che i virus sono scritti su misura per un singolo sistema operativo. Un virus può infettare un computer sul quale gira Windows, ma non può fare nulla contro un PC sul quale gira Linux, OS/2, BeOS o contro un Mac, e viceversa. Esistono alcuni virus che superano questa barriera, i cosiddetti cross-platform, ma sono ben poco efficaci (infettano al massimo due sistemi operativi) e soprattutto vengono fermati dagli antivirus aggiornati.

pHiSh, invece, ha un'efficacia notevolissima, in quanto riscrive direttamente il BIOS, rendendo quindi inaccessibili e inservibili i dischi rigidi, il mouse e la tastiera (i dati sono recuperabili soltanto smontando immediatamente i dischi rigidi e installandoli su un altro computer non infetto), ma soprattutto perché agisce prima dell'avvio del sistema operativo, ossia proprio quando l'antivirus non può fare nulla per fermarlo.

Pensateci un attimo: anche l'antivirus più moderno e aggiornato è attivo soltanto quando il sistema operativo è in funzione (e in realtà si avvia alcuni secondi dopo che è stato avviato il sistema operativo stesso, lasciando quindi una finestra di vulnerabilità anche verso altri virus meno sofisticati). Non può fare nulla prima che il sistema operativo si avvii e soprattutto non può fare nulla quando il computer è spento.

E qui entra in funzione pHiSh. Molti dei computer moderni, infatti, non si "spengono" mai completamente. Quando ad esempio dite a Windows di arrestare il sistema, alcune parti del computer rimangono sotto tensione. Il filo telefonico del modem rimane alimentato (come potete verificare con un tester), i condensatori e i compensatori di Heisenberg presenti nel computer mantengono un residuo di corrente e soprattutto il BIOS rimane alimentato da una batteria interna. Il computer è insomma in "sonno", ma non è del tutto inattivo, ed è a questo punto che agisce il nuovo virus.

Come agisce pHiSh

Proprio per questo è denominato appunto "Power-Off", e per questa sua caratteristica è in grado di agire a prescindere dal sistema operativo che avete installato sul computer. Agisce in due modi:

-- nel caso di un computer collegato a Internet tramite filo telefonico, modulando la tensione presente sul filo telefonico stesso in modo da emulare un segnale di "wake-up on modem call" (funzione presente in molti BIOS, che consiglio di disattivare), che "risveglia" il BIOS in modalità "read/write" e permette al virus di sovrascrivere con dati pseudocasuali le impostazioni del BIOS, paralizzando il computer;

-- nel caso di un computer collegato a Internet tramite una rete locale Ethernet, modulando i segnali presenti sul cavo Ethernet in modo da attivare la funzione "wake-up on LAN". Anche questa funzione è presente in molti BIOS (e va disattivata) e "risveglia" il BIOS come descritto sopra.

Al momento non è chiaro se anche le connessioni tramite cellulare GSM e tramite rete wireless si prestino a questo exploit, ma sembrerebbe di no. Probabilmente anche i laptop che hanno schede di rete PCMCIA sono immuni. Non ho ancora dati su quali BIOS siano colpiti e quali no, anche se si presume che tutti quelli recenti dotati delle suddette funzioni di "wake-up" siano vulnerabili. Appena avrò informazioni, ve le segnalerò.

Vorrei sottolineare che questo virus agisce su qualsiasi sistema operativo e scavalcando ogni antivirus. Rappresenta pertanto un vero traguardo tecnologico per gli autori di virus, ma soprattutto una seria minaccia per ogni utente di personal computer. Vi consiglio di diffondere a tutti quelli che conoscete questa segnalazione, anche se è preliminare e incompleta, affinché possano adottare subito le semplici ma preziose contromisure del caso, descritte qui sotto.

Propagazione

Al momento (1 aprile 2002) non è ancora ben chiaro il metodo di propagazione, ma alcuni fatti sono ragionevolmente assodati. L'infezione si propaga in due fasi.

-- Prima fase: ad alcuni computer il virus viene recapitato sotto forma di e-mail (senza allegato; è "embedded" nel codice HTML), e in questa guisa è facilmente riconoscibile dal fatto che il messaggio infettante arriva da un utente che la vittima conosce (un amico, un collega, un conoscente), è in formato HTML e inizia con il codice "I:" oppure "R:" seguito da uno o più spazi. Diffidate di ogni messaggio che inizia con questi codici, facili da confondere con quello standard (che è "Re:"). Chi lo manda potrebbe essere infetto.

-- Seconda fase: una volta insediato, il virus esegue una scansione del disco rigido alla ricerca di numeri di telefono (o numeri che possono sembrare telefonici) e poi esegue un "soft dial", ossia compone in sequenza ogni numero trovato, senza però dare la tensione esatta necessaria per il comando "solleva la cornetta" che precede una normale chiamata. Questo inganna la centrale telefonica (è un trucco usato da tempo per telefonare gratis), che non registra la chiamata e non la addebita, ma la chiamata raggiunge comunque il numero del destinatario. Se a quel numero è collegato un PC spento, il virus ne riscrive il BIOS, rendendo inservibile il PC. Questa tecnica, fra l'altro, mi fa pensare che probabilmente non ha effetto su linee ISDN, ma è solo una mia teoria.

Rimedi

Sono piuttosto semplici:

-- Disattivare le funzioni "wake up on LAN" e "wake up on modem" del BIOS

-- Scollegare il PC dal filo telefonico e dalla rete Ethernet quando è spento

-- Diffidare di ogni messaggio che inizia con "I: " oppure "R: " ed è in formato HTML

-- Non usare programmi che interpretano automaticamente l'HTML contenuto nei messaggi

-- Disattivare la spedizione di messaggi in formato HTML, in modo che non possiate infettare altri utenti

Consigli particolari per gli utenti Outlook

Alcune versioni di Outlook generano risposte contenenti proprio i codici "I:" e "R:" incriminati. Se la vostra versione lo fa, installate l'apposita patch gratuita, altrimenti i vostri messaggi sembreranno infetti e quindi causeranno falsi allarmi.

Per impostare Outlook in modo che mandi i messaggi come testo semplice e quindi non possa veicolare l'infezione, scegliete Strumenti - Opzioni - Invio - Formato invio posta. I dettagli della procedura sono descritti in vari siti.

Gli utenti di Outlook 2000 e Outlook 2002 possono evitare l'interpretazione automatica dell'HTML contenuto nei messaggi ricevuti usando un semplice plug-in gratuito, chiamato NoHTML, reperibile gratuitamente. Il plug-in NON funziona con Outlook 98 e Outlook Express.

Troverete maggiori informazioni, quando saranno disponibili, presso il sito www.attivissimo.net.