Si sta diffondendo rapidamente anche in Italia l'ultima versione di Beagle, la AQ (AI per alcuni laboratori antivirus), che arriva nelle caselle email degli utenti con il soggetto "foto". Il comportamento di questo worm è simile alle varianti scoperte fino ad ora di Beagle: ha un allegato che contiene un Trojan Horse e un software per scaricare il virus vero e proprio da Internet. Così quando l'utente inavvertitamente apre il file zip e clicca sui file contenuti, Beagle.AQ viene scaricato da Internet ed avviato automaticamente all'interno del sistema, che viene così infettato. L'operazione di scaricamento è molto breve essendo il worm contenuto in pochi KB.
QUALI I SISTEMI A RISCHIO
Questa nuova variante di Beagle è in grado di infettare tutti i sistemi operativi Windows dalla versione 95 in poi. Risultano indenni il DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX.
COME FUNZIONA
L'attività principale dei worm è quella di autospedirsi a tutti gli indirizzi recuperati nel computer infettato. Anche Beagle.AQ utilizza un proprio SMTP per l'invio dei messaggi infetti. In questo modo l'utente non ha la percezione di quanto sta accadendo perchè l'operazione avviene in background e l'unico modo di accorgersene è quella di valutare un traffico anomalo attraverso la connessione a Internet. Una volta insediatosi nel sistema, Beagle.AQ tenta di fermare l'attività dei più noti programmi di sicurezza, quali antivirus e firewall. Un tipo di attacco piuttosto pericoloso in quanto rende il computer più vulnerabile ad intrusioni dall'esterno ed a ulteriori infezioni da parte di altri virus in circolazione. Non contento, Beagle.AQ apre anche una Backdoor nel computer infetto sulle porte TCP e UDP 80, porte attraverso le quali viene scaricato il virus vero e proprio e che possono essere usate da remoto dagli autori del worm per eseguire arbitrariamente programmi sui computer infettati. Come di consuetudine per le varianti di questo worm, tutte le operazioni svolte da Beagle.AQ sono accompagnate da specifiche elaborazioni del file di registro di Windows, che viene modificato per garantire che le operazioni svolte da Beagle.AQ si rivelino efficaci anche riavviando il computer.
COME RICONOSCERLO
Il messaggio ha per soggetto la parola "foto", un richiamo particolarmente subdolo se si pensa che per mittente ci si può trovare l'indirizzo di una persona conosciuta. Ancora più subdolo se si considera che per molti si è appena concluso un periodo di vacanza e di foto da scambiare con amici e parenti. Nessun altro elemento del messaggio email con il quale viene veicolato Beagle.AQ è riconoscibile.
COME PROTEGGERSI
Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.