La prima copia di questo virus è stata intercettata il 23 febbraio in Australia, ma pare che si stia propagando rapidamente anche in Europa e Stati Uniti.
Il virus Gibe, in alcune forme, è già noto da tempo, ma questa è una nuova variante: arriva come messaggio di posta elettronica che suggerisce un aggiornamento di sicurezza (Security Patch) al sistema Windows da Microsoft.
Il virus è nuovissimo, pur ricalcando in parte codice infettivo già visto, infatti è stato individuato da server postali usando un motore euristico e non il database di definizioni dei virus noti. Alcuni esempi di soggetti del messaggio sono:
Fwd: Taste these security update from Microsoft
Microsoft Security Patch
Fw: Look at that correction update from Microsoft
FWD: Prove that security pack from Microsoft
Il testo del messaggio può contenere del testo in lingua inglese che invita ad installare un patch cumulative allegato al messaggio.
In realtà, l'allegato è il virus, scritto in linguaggio Microsoft Visual Basic e lungo ben 155,848 bytes. I nomi del file allegato possono essere ad esempio:
UPDATEnnnn.EXE
Qnnnnnn.EXE
Dove “nnnn” sono quattro o sei numeri casuali che imitano i caratteri effettivamente usati da Microsoft per denominare i file di aggiornamento della sicurezza.
Il virus, una volta entrato in azione, utilizza sia un servizio Smtp proprio che quello di Microsoft Outlook per inviare email con copie di se stesso. Gli indirizzi di spedizione vengono letti dalla rubrica di Windows e dai file di testo e Html presenti sul disco del computer ospite. Pare che il virus sia capace di distribuirsi anche attraverso connessioni locali e la rete IRC.
Rispondi quotando
