C'è una novità sul virus/worm, che va in genere sotto il nome di Mydoom, anche se ciascuna società di produzione di antivirus lo chiama con un nome diverso (bella furbata). Mydoom ha infatti già generato una mutazione, Mydoom.B, che invece di colpire SCO ha come bersaglio Microsoft. Anche questa mutazione inizierà l'attacco l'1 febbraio.

Inoltre molti lettori mi hanno chiesto chiarimenti sugli eventuali pericoli che corrono ricevendo un messaggio infetto e su come difendersi. Riassumo:

-- Mydoom non ha effetto se non aprite l'allegato che lo contiene. E' quindi sufficiente imparare a non aprire gli allegati inattesi, anche se sembrano provenire da un indirizzo autorevole o che conoscete.
-- Se ricevete un messaggio sospetto, è sufficiente cancellarlo senza aprire l'allegato.
-- Mydoom ha effetto soltanto su computer che usano Windows. Chi usa altri sistemi operativi (Mac, Linux, eccetera) non corre alcun pericolo.
-- Mydoom non usa il vostro programma di posta per spedirsi a nuove vittime: ha un proprio programma di posta che agisce invisibilmente.
-- Usate un antivirus e tenetelo aggiornato. Tutti gli antivirus riconoscono Mydoom e lo eliminano se vi infettate.
-- Usate un firewall, per esempio Zone Alarm; lasciate perdere quello integrato in Windows, perché non blocca il traffico uscente.
-- Non perdete tempo ad avvisare chi vi manda messaggi infetti. Il mittente e' fasullo.

Esempio: Tizio è un utonto che, nonostante siano anni che l'intera comunità informatica si sgola ad avvisare che non bisogna aprire gli allegati senza un controllo antivirus, apre qualsiasi porcata gli venga inviata. E così s'infetta con Mydoom.

Mydoom a questo punto legge la rubrica degli indirizzi di Tizio e usa il proprio programma di posta integrato per inviare invisibilmente un e-mail contenente una copia di se stesso agli utenti presenti nella rubrica di Tizio (se Tizio avesse un firewall, come per esempio Zone Alarm, questo invio verrebbe bloccato, ma Tizio è appunto un utonto). In pratica, grazie alla sua dabbenaggine Tizio tenta di infettare inconsapevolmente tutti quelli che conosce.

Per cercare di confondere le acque, Mydoom confeziona l'e-mail falsificando il mittente: invece di dichiarare di provenire da Tizio, fa sembrare che l'e-mail infetto provenga da un indirizzo pescato nella rubrica di Tizio: per esempio, l'indirizzo di Sempronio. Così quando Caio riceve il messaggio, crede che gliel'abbia mandato Sempronio anche se in realtà proviene da Tizio. Caio s'inviperisce per il virus ricevuto e quindi sommerge d'insulti Sempronio, che poverino non c'entra nulla.

La cosa che mi manda in bestia è che questo meccanismo è comprensibilmente poco conosciuto fra gli utenti ordinari, ma dovrebbe essere stranoto a chi fa informatica per lavoro. E invece gli amministratori dei sistemi informatici configurano i propri antivirus in modo da inviare una notifica al mittente di ogni messaggio ricevuto che viene trovato infetto.

Ovviamente, essendo il mittente falso, finisce che mandano la notifica alla persona sbagliata. Ecco perché state ricevendo, come me, non solo dozzine di copie del virus, ma anche decine di avvisi del tipo "attenzione, hai mandato un virus all'utente X", dove l'utente X è una persona che non conoscete affatto, anche se siete assolutamente sicuri di non essere infetti.

Insomma, pur essendo passati anni dall'avvento dello spoofing, c'è ancora una mandria di imbecilli che pensa che sia una cosa intelligente diramare notifiche di questo tipo fidandosi del mittente indicato dal virus. Bella questa: un antivirus che si fida di un virus.

La conseguenza di quest'irresponsabilità generalizzata dei tecnici è che la Rete è intasata non soltanto dal virus, ma anche dalle inutilissime notifiche di questi incompetenti. Io mi sono stufato e sto rispondendo a queste notifiche con una diffida a smettere di accusarmi ingiustamente di essere untore e a piantarla di intasare la Rete inutilmente; oltretutto, siccome queste notifiche fanno pubblicità sfacciata all'antivirus, si configurano come spam, e sono quindi in violazione delle leggi italiane sullo spamming.

Mi raccomando, quindi: tenete costantemente aggiornato il vostro antivirus, non aprite gli allegati inattesi, ignorate le notifiche che vi arrivano e tenetevi forte: già ora pare che un e-mail su tre sia infetto da Mydoom, ma mi sa che il peggio deve ancora venire.

Update

Ecco il testo che uso io per diffidare i responsabili dei sistemi informatici dal mandarmi notifiche assolutamente inutili quando ricevono un virus/worm che ha falsificato il mittente usando il mio indirizzo di e-mail. Usatelo con giudizio, e soltanto con i provider italiani (a quelli esteri non si applicano le leggi antispam italiane). Gli indirizzi dei responsabili ai quali inviare la diffida sono solitamente indicati nel testo delle notifiche che ricevete.

Egregi Responsabili di Sistema,

con la presente vi diffido dall'inoltrarmi ulteriori false comunicazioni riguardanti presunti "virus" che vi avrei inviato.

Tali comunicazioni sono false in quanto è stranoto, fra gli addetti ai lavori, che tutti i virus/worm da anni a questa parte fanno spoofing del mittente. Pertanto è inutile e deleterio inviare notifiche al mittente spoofato, perché NON E' LUI CHE VI HA INVIATO IL WORM.

Queste notifiche non soltanto generano irresponsabilmente inutile allarme negli utenti meno esperti e traffico superfluo per i server di posta già intasati dall'attuale ondata di attacchi del worm, ma costituiscono vero e proprio SPAM.

Le vostre notifiche, infatti, contengono informazioni pubblicitarie riguardanti i prodotti antivirali da voi adottati. Informazioni che io non ho richiesto né desidero, e che mi vengono inviate da voi senza il mio consenso e senza offrire una opzione di "opt-out", costituendo pertanto una violazione delle leggi italiane vigenti.

Richiamo alla vostra attenzione il comunicato stampa del Garante per la protezione dei dati personali del 3/12/2003, che ribadisce il concetto che "inviare e-mail pubblicitarie senza il consenso del destinatario è vietato dalla legge. Se questa attività, specie se sistematica, è effettuata a fini di profitto si viola anche una norma penale e il fatto può essere denunciato all'autorità giudiziaria. Sono previste varie sanzioni e, nei casi più gravi, la reclusione."

http://www.garanteprivacy.it/garante/doc.jsp?ID=272444

A parte queste considerazioni legali, è ben noto che tutti i sistemi antivirus consentono di disabilitare la notifica al mittente (apparente) del messaggio infetto. Lasciare attiva quest'opzione di notifica è quindi poco professionale ed estremamentedannoso per la Rete. Ne è prova il fatto che ormai io, come molti altri utenti, ricevo più notifiche errate che virus/worm.

State intasando Internet e i vostri stessi server di posta più di quanto abbia fatto il worm. Vi invito pertanto a riflettere seriamente sull'opportunità di disabilitare queste notifiche.

Distinti saluti