www.MegaLab.it

Come spesso si è avuto modo di sottolineare su queste pagine, l'attuale panorama di malware, virus, worm e quant'altro sia "badware" pensato per sottrarre il PC al controllo del suo legittimo proprietario, è caratterizzato principalmente da attacchi mirati, di ingegneria sociale o distribuiti in reti di sistemi "zombificati" utilizzabili a totale piacimento dei solito noti (o dei loro eventuali clienti paganti).

Un panorama insomma ben diverso da quello degli anni'80-'90, epoca in cui malware eccellenti passati poi alla storia - che allora venivano semplicemente definiti "virus" - come Invisibile Man, Brain ed Elk Cloner avevano come "scopo di vita" quello di annunciare la propria presenza all'utente e al mondo, dimostrando la competenza o la semplice smania di protagonismo dell'autore.

Sia come sia, nonostante il "core business" dei moderni malware writer sia diventato quello di far soldi o mettere a disposizione di criminali paganti le proprie capacità di far danno, ogni tanto spunta fuori un esemplare di agente patogeno modello "vecchia guardia", che piuttosto che al denaro pensa soprattutto alla beffa oltre al danno.

Esempio di questa tendenza sempre latente è appunto LiveDeath.A, trojan individuato da pochi giorni nei laboratori di Panda Security (ex-Panda Software). Il malware è potenzialmente molto distruttivo, colpisce qualunque sistema Windows dalla versione 3.x in poi (ignoti i possibili effetti su Vista) e non è in grado di propagarsi da solo, la qual cosa implica che l'utente lo deve consapevolmente avviare sul proprio sistema.

LiveDeath.A si nasconde sotto le spoglie di un file eseguibile, che a sua volta è la versione compilata di un semplice listato scritto in linguaggio batch. Questa sua natura "segreta" viene d'altronde rivelata dal messaggio iniziale mostrato a video nella console comandi, una volta mandato il file in esecuzione. Dopo tale messaggio, LiveDeath.A invita a premere un tasto qualsiasi per continuare.

Se l'utente fa quanto suggerito, il malware disabilita l'utilizzo del mouse e procede invitando il malcapitato a partecipare al "Game of Live or Death", che in sostanza consiste in alcune domande riguardanti informazioni personali come il proprio nome o il colore preferito. Proprio dopo aver risposto a quest'ultima questione, LiveDeath.A attiva la sua routine distruttiva (in gergo "payload") cancellando tutti i file presenti sull'unità di volume C: che non risultino al momento aperti dai programmi o dal sistema operativo.

Un errore nel listato batch del malware fa si che a questo punto, invece di uscire, LiveDeath.A ripeta ancora per due volte il "gioco", mostrando poi a video il messaggio "Thou Art Guess was Incorrect" e un countdown di 10 secondi, alla fine del quale il PC - a questo punto bello che morto - si spegne.

Ulteriori dettagli tecnici pubblicati da Panda Security parlano di due diverse componenti create da LiveDeath.A nella cartella dei file temporanei quando esso è in esecuzione: BT3672.BAT, che contiene il codice del trojan, e SETUP.EXE, decompilatore scritto in Visual Basic usato dal malware per auto-decompilarsi.

L'assoluta incapacità di propagarsi di propria volontà e lo scarso livello tecnico del malware (scrivere virus in batch non è certo un'impresa impossibile...) rendono la minaccia poco più che una mera ipotesi, e LiveDeath.A non fa altro che aggiungersi alla già sterminata quantità di esemplari "da zoo" che faranno bella mostra di se nei laboratori delle società di antivirus e negli archivi di sample dei collezionisti in giro per il mondo.

Pur tuttavia esso rappresenta un caso inusuale, nel moderno panorama dei codici malevoli alla costante ricerca di polli da spennare utenti poco accorti, il cui obiettivo principale non è il portafogli della vittima ma la faccia incolore che sicuramente farebbe la suddetta una volta scoperto che tutti i dati presenti sul disco fisso sono evaporati, dopo aver partecipato a quello stupido giochino "di vita o di morte" mal scritto e dagli evidenti errori grammaticali...