Il virus che funziona senza allegato

Si tratta di Bagle.Q: questo è perlomeno il nome assegnatogli da Trend Micro.

Uno dei numerosi metodi di infezione adottati dalla famiglia Bagle (ce ne sono varianti a bizzeffe) di cui Bagle.Q fa parte sfrutta una vulnerabilità di Internet Explorer che è già stata corretta da tempo e che consente di infettare un computer Windows usando un e-mail appositamente confezionato.

In pratica, Bagle.Q invia un e-mail privo di allegato, il cui testo è in formato HTML e contiene un link a una copia del virus, piazzata in un apposito sito Internet. E' sufficiente visualizzare questo e-mail in un programma insicuro che interpreta l'HTML su una macchina Windows non aggiornata con le patch (situazione frequentissima), e la vulnerabilità va a prendersi da sola il virus, ricorrendo a uno script in Visual Basic e infettando il computer del malcapitato utente.

E' un meccanismo originale e sofisticato, ma mi fa piacere poter dire che il mio piccolo Dodecalogo di Sicurezza regge alla novità senza alcun problema, nel senso che chi ne rispetta le semplici regole non ha alcunché da temere da Bagle.Q.

Vanteria a parte, la cosa è importante perché i consigli di sicurezza devono essere il più possibile durevoli, senza cambiare in continuazione per non confondere l'utente.

Inoltre il Dodecalogo sarà il perno di un libriccino che sto scrivendo, intitolato semi-definitivamente "L'acchiappavirus", che sarà un manualetto spiccio di sicurezza informatica per non addetti ai lavori, per cui è importante che quello che scrivo non diventi obsoleto troppo in fretta.

Bagle.Q può agire soltanto se il vostro computer non è aggiornato con le patch, ma la Regola 4 del Dodecalogo infatti raccomanda di installare le patch di Microsoft, per cui se l'avete rispettata non avrete problemi con Bagle.Q.

La Regola 6 consiglia di non usare Internet Explorer e Outlook/Outlook Express, e Bagle.Q funziona soltanto se il vostro programma di posta esegue automaticamente l'HTML contenuto nei messaggi, cosa che Outlook/Outlook Express fa se non lo reimpostate appositamente.

La Regola 7, infine, suggerisce di tenere disattivati ActiveX, Javascript e Visual Basic Scripting se non strettamente indispensabile: pertanto Bagle.Q non può funzionare sui PC che rispettano questo suggerimento, perché ricorre al Visual Basic per scaricare il codice virale dal sito remoto.

Ovviamente si applica come sempre anche la Regola 1 (installare e tenere perennemente aggiornato un buon antivirus), grazie alla quale Bagle.Q viene fermato prima che possa far danno. Il Dodecalogo di Sicurezza completo, con le spiegazioni delle ragioni che stanno dietro alle regole, è a vostra disposizione qui.