pHiSh, il virus che agisce a computer spento

Indagine iniziale: 31 marzo 2002. Ultimo aggiornamento: 4 aprile 2002.

Indagini antibufala consultate dal 7/11/2003:


Il testo dell'appello

L'appello ha la seguente falsariga:

_Power-Off, nuovo virus per tutti i sistemi operativi (1 aprile 2002)__

Come sapete, abitualmente non segnalo in questa newsletter ogni virus che esce in Rete: ne nascono troppi ogni giorno. Faccio volentieri un'eccezione, pero', quando il virus ha caratteristiche inconsuete o rappresenta un salto tecnologico, come a suo tempo BubbleBoy e i suoi emuli.

E' per questo che vorrei segnalarvi la circolazione di un nuovo virus estremamente minaccioso, denominato "Power-Off" o "pHiSh", che e' stato recentemente rilevato da alcuni esperti. Purtroppo, in ossequio alle nuove leggi sul "responsible disclosure", l'annuncio ufficiale di questa vulnerabilita' non puo' essere dato dai siti dedicati alla sicurezza se non dopo almeno due settimane dalla segnalazione alle aziende il cui prodotto e' risultato vulnerabile: quindi, visto che il problema e' stato comunicato oggi 1 aprile alle aziende, gli utenti sono vulnerabili e totalmente indifesi almeno fino al 14/4.

Di solito rispetto questa legge, anche se e' estremamente discutibile, ma stavolta, vista la serieta' della minaccia, non me la sono sentita di lasciarvi alla merce' del primo pirata che passa per ben due settimane. Mi premeva avvisarvi prima che il virus cominciasse a mietere vittime.

Niente panico: il virus e' potente, ma lo si ferma con alcune semplici contromisure che trovate in fondo a questo avviso.

__Un inquietante passo avanti___

Il salto tecnologico e' questo: la capacita' di colpire _qualsiasi_ sistema operativo. Infatti sappiamo tutti che i virus sono scritti su misura per un singolo sistema operativo. Un virus puo' infettare un computer sul quale gira Windows, ma non puo' fare nulla contro un PC sul quale gira Linux, OS/2, BeOS o contro un Mac, e viceversa. Esistono alcuni virus che superano questa barriera, i cosiddetti "cross-platform", ma sono ben poco efficaci (infettano al massimo due sistemi operativi) e soprattutto vengono fermati dagli antivirus aggiornati.

pHiSh, invece, ha un'efficacia notevolissima, in quanto riscrive direttamente il BIOS, rendendo quindi inaccessibili e inservibili i dischi rigidi, il mouse e la tastiera (i dati sono recuperabili soltanto smontando _immediatamente_ i dischi rigidi e installandoli su un altro computer non infetto), ma soprattutto perche' agisce _prima_ dell'avvio del sistema operativo, ossia proprio quando l'antivirus non puo' fare nulla per fermarlo.

Pensateci un attimo: anche l'antivirus piu' moderno e aggiornato e' attivo soltanto quando il sistema operativo e' in funzione (e in realta' si avvia alcuni secondi _dopo_ che e' stato avviato il sistema operativo stesso, lasciando quindi una finestra di vulnerabilita' anche verso altri virus meno sofisticati). Non puo' fare nulla prima che il sistema operativo si avvii e soprattutto non puo' fare nulla quando il computer e' _spento_.

E qui entra in funzione pHiSh. Molti dei computer moderni, infatti, non si "spengono" mai completamente. Quando ad esempio dite a Windows di arrestare il sistema, alcune parti del computer rimangono sotto tensione. Il filo telefonico del modem rimane alimentato (come potete verificare con un tester), i condensatori e i compensatori di Heisenberg presenti nel computer mantengono un residuo di corrente e soprattutto il BIOS rimane alimentato da una batteria interna. Il computer e' insomma in "sonno", ma non e' del tutto inattivo, ed e' a questo punto che agisce il nuovo virus.

_Come agisce pHiSh__

Proprio per questo e' denominato appunto "Power-Off", e per questa sua caratteristica e' in grado di agire a prescindere dal sistema operativo che avete installato sul computer. Agisce in due modi:

-- nel caso di un computer collegato a Internet tramite filo telefonico, modulando la tensione presente sul filo telefonico stesso in modo da emulare un segnale di "wake-up on modem call" (funzione presente in molti BIOS, che consiglio di disattivare), che "risveglia" il BIOS in modalita' "read/write" e permette al virus di sovrascrivere con dati pseudocasuali le impostazioni del BIOS, paralizzando il computer;

-- nel caso di un computer collegato a Internet tramite una rete locale Ethernet, modulando i segnali presenti sul cavo Ethernet in modo da attivare la funzione "wake-up on LAN". Anche questa funzione e' presente in molti BIOS (e va disattivata) e "risveglia" il BIOS come descritto sopra.

Al momento non e' chiaro se anche le connessioni tramite cellulare GSM e tramite rete wireless si prestino a questo exploit, ma sembrerebbe di no. Probabilmente anche i laptop che hanno schede di rete PCMCIA sono immuni. Non ho ancora dati su quali BIOS siano colpiti e quali no, anche se si presume che tutti quelli recenti dotati delle suddette funzioni di "wake-up" siano vulnerabili. Appena avro' informazioni, ve le segnalero'.

Vorrei sottolineare che questo virus agisce _su_qualsiasi_sistema_operativo_ e _scavalcando_ogni_antivirus_. Rappresenta pertanto un vero traguardo tecnologico per gli autori di virus, ma soprattutto una seria minaccia per ogni utente di personal computer. Vi consiglio di diffondere a tutti quelli che conoscete questa segnalazione, anche se e' preliminare e incompleta, affinche' possano adottare subito le semplici ma preziose contromisure del caso, descritte qui sotto.

__Propagazione__

Al momento (1 aprile 2002) non e' ancora ben chiaro il metodo di propagazione, ma alcuni fatti sono ragionevolmente assodati. L'infezione si propaga in due fasi.

-- Prima fase: ad alcuni computer il virus viene recapitato sotto forma di e-mail (senza allegato; e' "embedded" nel codice HTML), e in questa guisa e' facilmente riconoscibile dal fatto che il messaggio infettante arriva da un utente che la vittima conosce (un amico, un collega, un conoscente), e' in formato HTML e inizia con il codice "I:" oppure "R:" seguito da uno o piu' spazi. Diffidate di ogni messaggio che inizia con questi codici, facili da confondere con quello standard (che e' "Re:"). Chi lo manda potrebbe essere infetto.

-- Seconda fase: una volta insediato, il virus esegue una scansione del disco rigido alla ricerca di numeri di telefono (o numeri che possono sembrare telefonici) e poi esegue un "soft dial", ossia compone in sequenza ogni numero trovato, senza pero' dare la tensione esatta necessaria per il comando "solleva la cornetta" che precede una normale chiamata. Questo inganna la centrale telefonica (e' un trucco usato da tempo per telefonare gratis), che non registra la chiamata e non la addebita, ma la chiamata raggiunge comunque il numero del destinatario. Se a quel numero e' collegato un PC spento, il virus ne riscrive il BIOS, rendendo inservibile il PC. Questa tecnica, fra l'altro, mi fa pensare che probabilmente non ha effetto su linee ISDN, ma e' solo una mia teoria.

__Rimedi__

Sono piuttosto semplici:

-- Disattivare le funzioni "wake up on LAN" e "wake up on modem" del BIOS

-- Scollegare il PC dal filo telefonico e dalla rete Ethernet quando e' spento

-- Diffidare di ogni messaggio che inizia con "I: " oppure "R: " ed e' in formato HTML

-- Non usare programmi che interpretano automaticamente l'HTML contenuto nei messaggi

-- Disattivare la _spedizione_ di messaggi in formato HTML, in modo che non possiate infettare altri utenti

__Consigli particolari per gli utenti Outlook__

Alcune versioni di Outlook generano risposte contenenti proprio i codici "I:" e "R:" incriminati. Se la vostra versione lo fa, installate l'apposita patch gratuita (http://www.vene.ws/mail/patch.asp), altrimenti i vostri messaggi sembreranno infetti e quindi causeranno falsi allarmi.

Per impostare Outlook in modo che mandi i messaggi come testo semplice e quindi non possa veicolare l'infezione, scegliete Strumenti - Opzioni - Invio - Formato invio posta. I dettagli della procedura sono descritti in vari siti, come http://pcpro.mondadori.com/pcpro/know_how/art006001035850.jsp.

Gli utenti di Outlook 2000 e Outlook 2002 possono evitare l'interpretazione automatica dell'HTML contenuto nei messaggi _ricevuti_ usando un semplice plug-in gratuito, chiamato NoHTML, reperibile gratuitamente presso http://ntbugtraq.ntadvice.com/default.asp?sid=1&pid=55&did=38. Il plug-in NON funziona con Outlook 98 e Outlook Express.

Troverete maggiori informazioni, quando saranno disponibili, presso il mio sito www.attivissimo.net.

Nel frattempo, buon lunedi' dell'Angelo a tutti.

Ciao da Paolo.

Datazione

La versione originale di questa bufala è stata pubblicata la notte del 31 marzo 2002. Lo so per certo, perché l'ho scritta io.

Perché è una bufala

Perché l'ho scritta io, appunto, come pesce d'aprile!

Gli indizi del fatto che si tratta di un perverso pesce d'aprile sono molti:

Consigli generali

Se ci siete cascati, sorridete, siete su Candid Camera. Se non ci siete cascati, vi siete meritati il titolo di Aiuto Detective Antibufala.

Alcuni lettori si sono lamentati che da me non si aspettavano una burla e quindi si sono fidati ciecamente. Male! A parte il fatto che io sono notoriamente un burlone represso, la regola cardine dell'indagine antibufala è mai fidarsi delle fonti non verificabili, anche quando sono "autorevoli".

Comunque il mio pesce d'aprile aveva funzioni educative: se avete seguito i "rimedi" proposti, avete comunque migliorato la sicurezza del vostro computer e fatto cosa gradita alla Rete, rispettandone gli standard.

Cosa fare se ricevete questo appello

Cancellatelo e non pensateci più. Se avete tempo, scrivete a chi ve l'ha mandato e ditegli che si tratta di una bufala. Se siete sadici, non avvisatelo ;-).