Articoli

BubbleBoy: il problema non sta nel virus

di Paolo Attivissimo

17

Nov

1999

Una delle regole fondamentali della sicurezza informatica è stata mandata a gambe all'aria da BubbleBoy, il nuovo "virus" segnalato il 9 novembre 1999 dalla Network Associates. Ma invece di prendercela con l'autore del "virus", forse dovremmo prendercela con qualcun altro.

La regola cui mi riferisco è quella che tutti, me compreso, abbiamo predicato per anni: non è possibile infettare il proprio PC semplicemente leggendo un e-mail, ma è necessario eseguire un allegato (attachment). Questo non è più vero, sia pure soltanto in determinate condizioni, purtroppo assai diffuse: dovete infatti usare Microsoft Outlook, Internet Explorer 5 e Windows 98, e dovete aver attivato il livello normale di sicurezza. Gli altri sistemi operativi e gli altri programmi non sono influenzati da questo "virus", con la possibile eccezione, non confermata, di alcune versioni di Eudora (quelle che leggono e convertono l'HTML) usate in abbinamento a Windows 98. Avete già capito chi intendo con "qualcun altro".

Una precisazione: uso le virgolette intorno a "virus" perché in realtà si tratta di un worm, ma il concetto è grosso modo lo stesso. I pignoli mi perdoneranno se da qui in avanti parlerò comunque di virus per chiarezza, vero?

Un'altra precisazione: la regola che ho sempre predicato (in buona compagnia, intendiamoci) dice che non è possibile infettare il proprio computer semplicemente leggendo un e-mail di solo testo, e vale ancora. "Solo testo" significa proprio questo: soltanto testo ASCII, niente effetti speciali, niente HTML, niente Java, Vbscript o altre porcherie.

Visto che non c'è due senza tre, ne faccio ancora una: il virus non è ancora stato rilevato in circolazione in Rete, per cui per ora consideratelo soltanto un avvertimento chiaro ed energico a migliorare la vostra sicurezza.


Come funziona Bubbleboy

Secondo le prime notizie, confermate da note case produttrici di antivirus come Symantec e disponibili in inglese presso http://www.symantec.com/avcenter/venc/data/vbs.bubbleboy.html, Bubbleboy funziona sotto Windows 98 e Windows 2000; può funzionare anche sotto Windows 95, ma soltanto se è stato installato il Windows Scripting Host. Inoltre funziona soltanto con le versioni inglesi e spagnole di questi sistemi operativi e non funziona con Windows NT.

Per diffondere il virus è necessario oltretutto adoperare Microsoft Outlook/Outlook Express insieme con Internet Explorer 5. Il virus utilizza una falla già nota nella sicurezza di Outlook e Explorer 5 per inserire un file di script di nome UPDATE.HTA quando il messaggio che lo contiene viene semplicemente visualizzato. Non occorre eseguire alcun allegato.

Questo file di script viene scritto nella cartella di esecuzione automatica di Windows (StartUp nella versione inglese) e quindi viene eseguito soltanto al successivo avvio di Windows. Il file di script ordina a Outlook di mandare una copia del messaggio contenente il virus a tutti gli indirizzi contenuti nella rubrica indirizzi di Outlook: in pratica, a tutti quelli che conoscete (che ve ne saranno sicuramente molto riconoscenti).

Il corpo del messaggio viene creato in HTML usando il linguaggio VBScript, che normalmente non viene visualizzato sullo schermo. Il VBScript viene eseguito automaticamente, senza che Windows chieda all'utente se lo vuole eseguire o no. In questo sta la falla di sicurezza.

Bubbleboy, comunque, è relativamente innocuo, nel senso che non fa gravi danni al vostro computer. Cambia il nome dell'utente in Bubbleboy (un riferimento alla serie TV Seinfeld), manda una copia di sé stesso a tutti quelli che conoscete, e poi se ne va.


Come si rimedia

Se riflettete un momento sulla breve descrizione che ho dato, noterete che eliminare il virus è molto semplice. La soluzione migliore è evitare l'infezione installando la patch (correzione) già prevista da Microsoft presso http://www.symantec.com/avcenter/venc/data/vbs. Questo eviterà non solo Bubbleboy, ma tutti gli altri virus analoghi che sicuramente nasceranno a breve.

Un altro modo per evitare l'infezione sarebbe cambiare completamente programmi in favore di qualcosa di più affidabile, ma non voglio fare il polemico...

Inoltre ricordate che questo virus agisce soltanto sulle versioni inglesi e spagnole di Windows. Se usate Windows italiano, non correte rischi (non da questo virus, perlomeno).

Se siete già infetti, nel senso che avete già ricevuto il messaggio contenente Bubbleboy, potete impostare la sicurezza di Explorer 5 al livello alto: questo eviterà la propagazione ad altre macchine.


Per rimuovere il virus è sufficiente:

  • cancellare il file UPDATE.HTA dalla cartella StartUp o, se usate Windows in spagnolo, dalla cartella Inicio.
  • Modificare le chiavi del Registry (Registro)
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RegisteredOwner e HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RegisteredOrganization riportandole ai valori originali (che sono il vostro nome e quello della vostra eventuale società).
  • Eliminare questa chiave del Registry: HKLM\Software\OUTLOOK.BubbleBoy\. A dire il vero, potete anche lasciarla: se il virus la rileva, significa che la vostra macchina è già stata infettata una volta e il virus ha il buon gusto di non reinfettare macchine già colpite).

Il virus non è ancora circolante: l'etica hacker

Fin qui gli aspetti tecnici. Ma la parte tecnica è in gran parte simile a quella di tanti altri virus in circolazione e in sé non meriterebbe tanta particolare attenzione.

Quello che vorrei evidenziare qui è la parte etica di questo virus:

  • Bubbleboy non è stato distribuito in Rete (non ancora, perlomeno). Il suo autore, a quanto pare qualcuno in Argentina, lo ha spedito direttamente alla Network Associates.
  • Bubbleboy non fa danni, a parte spedire un po' di messaggi e cambiare il nome utente.
  • Bubbleboy è facilmente rimovibile dal vostro computer. Anzi, vi avvisa persino come fare: visualizza il messaggio "System error, delete 'UPDATE.HTA' from the startup folder to solve this problem" ("Errore di sistema, cancellare 'UPDATE.HTA' dalla cartella di esecuzione automatica per risolvere il problema").
  • Bubbleboy agisce soltanto sulle versioni inglesi e spagnole di Windows.

Messe tutte insieme, queste caratteristiche indicano chiaramente che il virus non è stato concepito a scopo distruttivo, ma a scopo educativo. Innanzi tutto il creatore ha dimostrato la sua bravura, infrangendo (o perlomeno piegando) una delle regole cardine della sicurezza informatica, ma senza fare danni: questa è la vera etica hacker.

In secondo luogo, i giornali ne parleranno sicuramente tantissimo e questo servirà ad allertare gli utenti dell'esistenza di una colossale falla di sicurezza dei prodotti Microsoft più diffusi (e, allo stesso tempo, dell'esistenza di una apposita correzione predisposta da Microsoft).

Permettetemi un paragone. Se scoprissi che il mio modello di auto è l'unico sul mercato che si può scassinare con uno stuzzicadenti, maledirei la stirpe dei fabbricanti di stuzzicadenti oppure me la prenderei con quell'imbecille che fabbrica la mia automobile? Se qualcuno mi rubasse l'autoradio, mi arrabbierei solo con il ladro, o magari mi prenderei a calci per aver comperato una macchina senza serrature? O prenderei a calci il rivenditore perché mette in vendita automobili che non si possono chiudere a chiave?

Questo è il messaggio implicito di BubbleBoy. Windows è un ambiente di lavoro insicuro. Terribilmente insicuro. Stavolta è andata bene: un "ladro gentiluomo" lo ha dimostrato senza fare danni. Il prossimo ladro potrebbe non essere altrettanto rispettoso. Siete stati avvisati.