Se durante una conversazione in chat l’interlocutore ci segnala un link bisogna aprire gli occhi e diffidare perché probabilmente il nostro amico – debitamente accreditato tra i contatti e del quale l’identità è certa – non è consapevole di cosa sta succedendo o, probabilmente, allo stesso modo riceverà la medesima segnalazione inviata, però, da noi.
Si tratta di una metodologia – già nota – che affligge gli utilizzatori dei noti canali di messaggistica istantanea, ma con alcuni meccanismi che ne hanno perfezionato il funzionamento ed aumentato l’insidiosità.
Non sono immuni da questa da questa nuova tecnica, oltre agli utenti di Skype, anche coloro che si avvalgono di Yahoo! Messenger.
Gli altri, invece, non sembrano essere interessati dalla vicenda.
Il worm, al secolo noto come Backdoor.Tofsee, si distingue dai suoi predecessori per la proverbiale abilità nell’arte del camuffamento ed ancor più per le difficili manovre necessarie alla sua rimozione.
Al contrario di quanto l’esperienza ha insegnato il virus non agisce mostrandosi autonomamente ai diversi contatti presenti nella lista della vittima, bensì attende silenziosamente finché non viene avviata una comunicazione per intrufolarsi al suo interno, sfruttando così il momento in cui l’utente – sicuro dell’affidabilità del mittente della segnalazione maligna – tiene la guardia abbassata e non avrà quindi alcuna esitazione nel cliccare sul collegamento proposto.
Altro escamotage adottato è che il malware sfrutta tutta la sua “intelligenza”: prima di “mostrarsi” verifica i settaggi del sistema, ovvero la lingua ed il Paese impostati sul PC e confeziona il messaggio nell’idioma corretto. Le opzioni prevedono, quasi a rievocare l’incipit di un classico dell’umorismo, l’Olandese, il Tedesco, il Francese, lo Spagnolo, l’Italiano e l’universale Inglese.
Il collegamento indirizza la vittima verso una riproduzione di una pagina di una risorsa web famosa per consentire l’upload ed – ancor di più – per il download di file.
Nel caso verrà richiesto (solo per il semplice fatto di aver cliccato sulla URL mostrata nella finestra di chat) di scaricare un file in formato compresso che al suo interno contiene il file “NewPhoto024.JPG_www.tinyfilehost.com”.
La sua denominazione, in maniera piuttosto evidente, può facilmente ingannare uno sbadato fruitore, che, convinto di consultare un’immagine, esegue l’istruzione MS-DOS distinta dall’estensione “.com”.
Appena caduti nella trappola il worm va a sbirciare nel file di registro della postazione alla ricerca dei due applicativi di messaggistica ed in caso positivo procede alla sua installazione.
Una volta preso possesso del computer adotterà tutta una serie di accorgimenti atti ad intralciare la sua identificazione tra cui impedire la connessione a siti web di software antivirus, bloccare gli aggiornamenti del sistema operativo ed ostacolare l’installazione di file il cui nome possa essere associato ad un qualsiasi antimalware (questa ultima ipotesi può, a quanto pare, essere raggirata rinominando il file prima della sua esecuzione).
A questo punto il computer è messo sotto scacco e sarà a disposizione del pirata per tutti quegli usi che non è difficile immaginare.
Il suo programmatore, non pago dei milioni di potenziali obiettivi, ha anche previsto come ulteriore mezzo di contagio i dispositivi USB nei quali: una volta collegati ai pc infetti, il virus ci si va a replicare – unitamente al trojan Vaklik.AY – in attesa di trasferirsi su nuovi elaboratori.