Abbiamo festeggiato il compleanno di TDE qualche giorno fa e di virus ne sentiamo parlare sin troppo in questo strano anno 2020. Qualche giorno fa però è stato il 20° compleanno di ben altro tipo di virus – un worm per essere più precisi – che è stato sulla bocca di tutti per un po’ di tempo: ILOVEYOU.
Oltre a ricordarne brevemente la storia, daremo uno sguardo da vicino al codice di questo malware.
oPer sapere di che si tratta dobbiamo tornare indietro all’anno 2000, quando Internet era entrato da poco nelle nostre case ed in qualche maniera eravamo quasi tutti principianti. Molti utenti si erano visti recapitare un messaggio di posta elettronica con oggetto “ILOVEYOU” e, banalmente, l’avevano aperto perché incuriositi. Questo messaggo conteneva un virus piuttosto semplice ma molto dannoso che rubava le password, distruggeva i file multimediali dell’utente sostituendoli con copie di se stesso e si auto-inviava a tutti i contatti sovraccaricando anche i server di posta. I sistemi di allora avevano poche barriere, quindi molti sistemi dovettero essere spenti per evitare l’infezione, che avveniva semplicemente con l’esecuzione, attiva da impostazione predefinita, degli script in Microsoft Outlook.
ATTENZIONE: di seguito viene mostrato e commentato il codice sorgente di un programma malevolo, esclusivamente a scopo didattico. Non eseguirlo. Non scaricarlo se non sai cosa stai facendo.
Veniamo ora alla parte interessante. Questo worm, una volta visto da vicino, ha un aspetto sin troppo banale: un semplice programma in VBScript che non deve aggirare ostacoli o sfruttare falle poco documentate. Come detto, allora l’esecuzione degli script era attiva e vi erano poche limitazioni a ciò che potevano fare. Già allora era un’imprudenza se consideriamo che gli applet Java esistevano dal 1995 e giravano in una Sandbox.
Possiamo trovare il codice sorgente qui. Formattazione e commenti sono stati aggiunti in seguito. Tutte le linee che iniziano con rem sono dei commenti.
Per prima cosa, viene disattivata la scadenza dell’esecuzione degli script, per evitare che questo stesso codice venga bloccato dal sistema. Poi il worm si autoreplica nelle cartelle di sistema.
A questo punto iniziano i danni. Il programma imposta la propria esecuzione automatica, cambia la pagina principale di Internet Explorer in modo da scaricare il programma che ruba le password. Quando questo è stato scaricato, lo mette in esecuzione automatica e reimposta la pagina iniziale. Di seguito, sostituisce tutti i file multimediali dell’utente con se stesso, contando sul fatto che siccome Windows è spesso impostato per non mostrare le estensioni dei file, l’utente inconsapevole lo eseguirà o lo passerà a qualcun altro. Non resta infine che inviare una copia del malware a tutti i contatti mIRC ed e-mail.
Come detto, semplice, ma molto efficace.
Questo attacco ha fatto scuola per il suo metodo di diffusione attraverso la rete, per lo sfruttamento di falle di sistema alla portata anche di programmatori non molto esperti in sistemi ed anche per l’ingegneria sociale (invogliare ad aprire un virus con un messaggio gradevole). Falle come queste oggi sono dovute più che altro a distrazioni dei programmatori, ma può ancora capitare che nel tentativo di rendere un software facile da usare si aprano le porte a malintenzionati, come nei recenti attacchi alla piattaforma Zoom. Rimane più che mai, se siamo in grado di cogliere i moniti, la necessità di una buona alfabetizzazione digitale, perché è impensabile di servirsi di strumenti che non si è in grado di utilizzare.