www.MegaLab.it

I laboratori della società di sicurezza Panda Software hanno recentemente individuato un codice malevolo dai tratti davvero caratteristici: classificato come W32/Ridnu.D.worm, ha un comportamento diametralmente opposto a quello riscontrabile nella maggioranza di worm, rootkit e trojan che attualmente vanno per la maggiore, rivelando quanto più possibile piuttosto che celare la propria azione all'utente.

Una volta che ha infettato il sistema, Ridnu.D comincia a dar libero sfogo alla sua anima casinista e romantica - o per meglio dire quella del suo autore - spegnendo lo schermo ogni cinque secondi, aprendo il vano del lettore di dischi ottici, modificando il titolo della cartella documenti e lo stesso aspetto della maschera usata dalla shell di sistema Explorer.

Non bastasse, l'esecuzione del Notepad su un sistema infetto comporta la composizione automatica di alcuni messaggi dal tono piuttosto mieloso, preceduti dall'introduttivo obbligato "DEAR MY PRINCESS". I suddetti messaggi includono chicche quali:

- I AM FALLING IN LOVE WITH YOU !

- I HAVE BEEN POISONED BY YOUR LOVE !

- I WILL TAKE YOU TO OUR UTOPIA

- YOU WILL ALWAYS IN MY HEART !

Diventa fastidioso persino usare la funzionalità Esegui dal menu Start, poiché ad ogni accesso della suddetta Ridnu.D stampa all'interno della finestra di dialogo il messaggio "MR COOLFACE !". Identico fastidio durante l'apertura di Internet Explorer, la cui esecuzione comporta la visualizzazione di una pagina web di vaghi ringraziamenti da parte dell'autore del virus.

Dopo essersi assicurato - con le opportune modifiche al Registro di configurazione - l'esecuzione ad ogni avvio e ad ogni apertura di un file eseguibile con estensione .bat, .com e .pif, Ridnu.D provvede ad infettare il disco di sistema e tutti i drive attualmente collegati, depositando copie di se stesso nella directory radice del drive C: - sotto il nome di Explorer.exe - e in quelle di tutti i volumi disponibili - sotto le mentite spoglie di Autorun.exe.

Oltre a propagarsi con le tipiche tecniche dei worm, auto-replicandosi sui dischi con eseguibili dai nomi disparati (Alisa.exe, Emma.exe, Mutation.exe, Services.exe e via di questo passo), Ridnu.D si comporta anche come un file virus, appiccicando il proprio codice all'inizio dei file di programma scovati in ogni cartella aperta dall'utente. Se malauguratamente uno di questi eseguibili fosse più lungo di 760 kbyte, esso verrebbe sovrascritto dal codice del virus.

Considerando il suo basso livello di diffusione, il malware non dovrebbe rappresentare una minaccia particolarmente pericolosa per la già problematica situazione della sicurezza telematica mondiale. È naturalmente consigliato tenere sempre aggiornati i propri software di sicurezza e, soprattutto, usare buon senso e prudenza nel "maneggiare" software e file provenienti da ogni fonte, sia essa fidata o meno.