Lo scorso 6 giugno le case produttrici di antivirus hanno annunciato la diffusione del nuovo worm “Timofonica” tra gli utenti abbonati alla società spagnola Telefonica.
Il nuovo worm, agisce in modo del tutto simile al precedente “I-LOVE-YOU”, ma Dan Takata, manager per la formazione tecnica presso F-Secure dice che Timofonica non infetta in maniera diretta i telefoni cellulari.
Difatti, il worm Timofonica (come I-LOVE-YOU) arriva come file sottoforma di allegato ad un’e-mail con il nome di Timofonica.txt.vbs. Questo file di testo scritto in spagnolo è una sorta di denuncia contro l’azienda “Telefonica” accusata di monopolio nel campo delle comunicazioni cellulari e invita gli utenti ad aprire l’allegato per ricevere ulteriori informazioni su tutta la vicenda.
Le impostazioni base di Windows, infatti, non permettono di visualizzare l’estensione “.vbs” (quella pericolosa) e pertanto all’ignaro utente viene visualizzata solo l’estensione “.txt” (quella di un normale documento di testo).
A differenza di I-LOVE-YOU e di molti altri worm, il virus Timofonica invia ad ogni contatto presente nella rubrica di Outlook Express una sorta di dichiarazione politica che dice:
“Tutti sono a conoscenza del monopolio di Telefonica, ma probabilmente ignorano i metodi usati dall’azienda per conquistare quella posizione. Nell’allegato sono inclusi opinioni, prove e indirizzi Web con ulteriori informazioni che dimostrano irregolarità nell’acquisto di materiali, fatturazioni false, forniture inesistenti, e così via. Questi documenti testimoniano anche di estorsioni e favoritismi verso uomini d’affari nazionali e internazionali. Spiegano le ragioni che stanno dietro al fallimento in Olanda e ciò che l’azienda ha fatto per acquisire Lycos. Nei link sono inclusi argomenti correlati, in modo che possiate accedere a commenti, informazioni ed altri documenti. Come capirete, è molto importante, quindi vi prego di inoltrare questa lettera ai vostri amici e conoscenti”.
Non appena aperto l’allegato, il worm invia una copia di se stesso ad ogni indirizzo che trova nella rubrica di Outlook Express e successivamente installa un file chiamato “cmos.com” che cancella le impostazioni di base di Windows al successivo riavvio.
Per ultimo, il worm invia un messaggio e-mail presso un gateway GSM utilizzato dal servizio Moviestar di Telefonica. L’indirizzo è ricavato in maniera casuale partendo da un prefisso locale valido e da un numero di 6 cifre che vengono affiancati al suffisso @correo.moviestar.net.
Sicuramente molti numeri di telefonini generati dal worm potrebbero risultare inesistenti, ma questo preoccupa molto i dirigenti delle società antivirus che pensano al proliferare di worm più distruttivi e magari compatibili con il protocollo WAP.
L’analisi del worm è stata condotta dalla società anti-virus Trend Micro.
Per ulteriori informazioni: Trend Micro