{"id":915,"date":"2020-05-07T08:00:41","date_gmt":"2020-05-07T06:00:41","guid":{"rendered":"http:\/\/www.ilbytecidio.it\/?p=915"},"modified":"2020-05-06T22:42:44","modified_gmt":"2020-05-06T20:42:44","slug":"i-love-you-altro-virus-altro-compleanno","status":"publish","type":"post","link":"https:\/\/www.ilbytecidio.it\/?p=915","title":{"rendered":"I Love You: altro virus, altro compleanno"},"content":{"rendered":"\n<div class=\"wp-block-image\"><figure class=\"alignright is-resized\"><a href=\"http:\/\/www.ilbytecidio.it\/wp-content\/uploads\/2020\/05\/iloveyou-wiki.png\" target=\"_BLANK\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/www.ilbytecidio.it\/wp-content\/uploads\/2020\/05\/iloveyou-wiki.png\" alt=\"\" class=\"wp-image-917\" width=\"286\" height=\"175\" srcset=\"https:\/\/www.ilbytecidio.it\/wp-content\/uploads\/2020\/05\/iloveyou-wiki.png 480w, https:\/\/www.ilbytecidio.it\/wp-content\/uploads\/2020\/05\/iloveyou-wiki-300x184.png 300w\" sizes=\"auto, (max-width: 286px) 100vw, 286px\" \/><\/a><figcaption>Messaggio di ILOVEYOU, da Wikipedia<\/figcaption><\/figure><\/div>\n\n\n\n<p>Abbiamo festeggiato il <a href=\"http:\/\/www.ilbytecidio.it\/?p=903\" target=\"_blank\" rel=\"noreferrer noopener\" aria-label=\"compleanno di TDE (opens in a new tab)\">compleanno di TDE<\/a> qualche giorno fa e di virus ne sentiamo parlare sin troppo in questo strano anno 2020. Qualche giorno fa per\u00f2 \u00e8 stato il 20\u00b0 compleanno di ben altro tipo di virus &#8211; un worm per essere pi\u00f9 precisi &#8211; che \u00e8 stato sulla bocca di tutti per un po&#8217; di tempo: ILOVEYOU.<br>Oltre a ricordarne brevemente la storia, daremo uno sguardo da vicino al codice di questo malware.<\/p>\n\n\n\n<!--more-->\n\n\n\n<p>oPer sapere di che si tratta dobbiamo tornare indietro all&#8217;anno 2000, quando Internet era entrato da poco nelle nostre case ed in qualche maniera eravamo quasi tutti principianti. Molti utenti si erano visti recapitare un messaggio di posta elettronica con oggetto &#8220;ILOVEYOU&#8221; e, banalmente, l&#8217;avevano aperto perch\u00e9 incuriositi. Questo messaggo conteneva un virus piuttosto semplice ma molto dannoso che rubava le password, distruggeva i file multimediali dell&#8217;utente sostituendoli con copie di se stesso e si auto-inviava a tutti i contatti sovraccaricando anche i server di posta. I sistemi di allora avevano poche barriere, quindi molti sistemi dovettero essere spenti per evitare l&#8217;infezione, che avveniva semplicemente con l&#8217;esecuzione, attiva da impostazione predefinita, degli script in Microsoft Outlook.<\/p>\n\n\n\n<p><strong>ATTENZIONE:<\/strong> di seguito viene mostrato e commentato il codice sorgente di un programma malevolo, esclusivamente a scopo didattico. Non eseguirlo. Non scaricarlo se non sai cosa stai facendo.<\/p>\n\n\n\n<p>Veniamo ora alla parte interessante. Questo worm, una volta visto da vicino, ha un aspetto sin troppo banale: un semplice programma in VBScript che non deve aggirare ostacoli o sfruttare falle poco documentate. Come detto, allora l&#8217;esecuzione degli script era attiva e vi erano poche limitazioni a ci\u00f2 che potevano fare. Gi\u00e0 allora era un&#8217;imprudenza se consideriamo che gli applet Java esistevano dal 1995 e giravano in una <em>Sandbox<\/em>.<br>Possiamo trovare il codice sorgente <a rel=\"noreferrer noopener\" aria-label=\"qui (opens in a new tab)\" href=\"https:\/\/github.com\/onx\/ILOVEYOU\" target=\"_blank\">qui<\/a>. Formattazione e commenti sono stati aggiunti in seguito. Tutte le linee che iniziano con <em>rem<\/em> sono dei commenti.<\/p>\n\n\n\n<p>Per prima cosa, viene disattivata la scadenza dell&#8217;esecuzione degli script, per evitare che questo stesso codice venga bloccato dal sistema. Poi il worm si autoreplica nelle cartelle di sistema.<br>A questo punto iniziano i danni. Il programma imposta la propria esecuzione automatica, cambia la pagina principale di Internet Explorer in modo da scaricare il programma che ruba le password. Quando questo \u00e8 stato scaricato, lo mette in esecuzione automatica e reimposta la pagina iniziale. Di seguito, sostituisce tutti i file multimediali dell&#8217;utente con se stesso, contando sul fatto che siccome Windows \u00e8 spesso impostato per non mostrare le estensioni dei file, l&#8217;utente inconsapevole lo eseguir\u00e0 o lo passer\u00e0 a qualcun altro. Non resta infine che inviare una copia del malware a tutti i contatti mIRC ed e-mail.<br><\/p>\n\n\n\n<p>Come detto, semplice, ma molto efficace.<br>Questo attacco ha fatto scuola per il suo metodo di diffusione attraverso la rete, per lo sfruttamento di falle di sistema alla portata anche di programmatori non molto esperti in sistemi ed anche per l&#8217;ingegneria sociale (invogliare ad aprire un virus con un messaggio gradevole). Falle come queste oggi sono dovute pi\u00f9 che altro a distrazioni dei programmatori, ma pu\u00f2 ancora capitare che nel tentativo di rendere un software facile da usare si aprano le porte a malintenzionati, come nei recenti attacchi alla piattaforma Zoom. Rimane pi\u00f9 che mai, se siamo in grado di cogliere i moniti, la necessit\u00e0 di una buona alfabetizzazione digitale, perch\u00e9 \u00e8 impensabile di servirsi di strumenti che non si \u00e8 in grado di utilizzare.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Abbiamo festeggiato il compleanno di TDE qualche giorno fa e di virus ne sentiamo parlare sin troppo in questo strano anno 2020. Qualche giorno fa per\u00f2 \u00e8 stato il 20\u00b0 compleanno di ben altro tipo di virus &#8211; un worm &hellip; <a href=\"https:\/\/www.ilbytecidio.it\/?p=915\">Continua a leggere<span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[36,28],"tags":[],"class_list":["post-915","post","type-post","status-publish","format-standard","hentry","category-internet","category-software"],"views":109,"_links":{"self":[{"href":"https:\/\/www.ilbytecidio.it\/index.php?rest_route=\/wp\/v2\/posts\/915","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ilbytecidio.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ilbytecidio.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ilbytecidio.it\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ilbytecidio.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=915"}],"version-history":[{"count":2,"href":"https:\/\/www.ilbytecidio.it\/index.php?rest_route=\/wp\/v2\/posts\/915\/revisions"}],"predecessor-version":[{"id":918,"href":"https:\/\/www.ilbytecidio.it\/index.php?rest_route=\/wp\/v2\/posts\/915\/revisions\/918"}],"wp:attachment":[{"href":"https:\/\/www.ilbytecidio.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=915"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ilbytecidio.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=915"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ilbytecidio.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=915"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}