Nel 1999 il macro virus Melissa colpì la rete, rischiando di mettere in ginocchio i punti nevralgici dell’infrastruttura. Alcune aziende dovettero a spengere i server per tentare di contenerne la diffusione.
Alla fine del marzo 1999, un programmatore di nome David Lee Smith prese il controllo di un account di America Online (AOL). E lo usò per pubblicare un file su un newsgroup Internet chiamato “alt.sex”. Il post prometteva dozzine di password gratuite per siti Web a pagamento con contenuti per adulti.
Quando gli utenti abboccavano, scaricavano il documento e lo aprivano con Microsoft Word, si scatenava il virus Melissa sui loro computer mettendo in esecuzione una macro. Il 26 marzo 1999 ha cominciato a diffondersi a macchia d’olio su Internet.
Questo era il messaggio di testo che accompagnava il file infetto.
E questa è la lista di 80 password di accesso ad altrettanti siti a sfondo pornografico. Il file “list.doc” contiene uno script Visual Basic che copia il file infetto in un file modello utilizzato da Word per le impostazioni personalizzate e le macro predefinite. Se il destinatario apre l’allegato, il file infetto verrà letto- Il virus creerà quindi un oggetto Outlook, leggerà i primi 50 nomi in ciascuna Rubrica globale di Outlook e invierà una copia di sé stesso agli indirizzi letti.
Come funziona il virus Melissa
Il virus Melissa funziona su Microsoft Word 97/2000 e client di posta elettronica Microsoft Outlook 97/98. Microsoft Outlook non è necessario per ricevere il virus tramite posta elettronica, ma senza di esso non è in grado di diffondersi tramite altri messaggi di posta elettronica.
Il virus non aveva lo scopo di rubare denaro o informazioni, ma ha comunque causato molta confusione. I server di posta elettronica di oltre 300 aziende e agenzie governative in tutto il mondo sono stati sovraccaricati e alcuni hanno dovuto essere chiusi completamente, incluso quello di Microsoft.
Circa un milione di account di posta elettronica sono stati bloccati e il traffico Internet in alcune località è stato rallentato. Nel giro di pochi giorni gli esperti di sicurezza informatica sono riusciti a contenere la diffusione del virus e a ripristinare la funzionalità delle loro reti. Anche se ci è voluto del tempo per eliminare completamente le infezioni.
Secondo payload e i Simpson
Un secondo payload si verificava quando il minuto corrente corrisponde al giorno in cui è stato lanciato. E qui la citazione “Twenty-two points, plus triple-word-score, plus 50 points for using all my letters. Game’s over. I’m outta here.” viene inserito nei documenti aperti di Microsoft Word. Questo, e l’alias Kwyjibo utilizzato nello script macro, derivano entrambi da un episodio dei Simpson, Bart il Genio. Si tratta del secondo episodio della prima stagione del 14 gennaio 1990, trasmesso in Italia il 1º ottobre 1991.
Altre varianti del virus Melissa
Altre varianti del virus Melissa sono:
- Assilem: che sarebbe Melissa al contrario
- Melissa.W (AKA Prilissa): mostrava il messaggio “Vine…Vide…Vice…Moslem Power Never End…Your Computer Have Just Been Terminated By -= CyberNET =- Virus!!” -” poi copriva il documento con quadrati colorati e sovrascriveva l’Autoexec.bat per formattare il disco fisso
- Melissa.BG: conosciuta anche come “Résumé” arriva in una email con Oggetto “Curriculum vitae – Janet Simons” e allegato “Explorer.doc”. Quando il documento viene chiuso, si salva nei seguenti file: C:\WINDOWS\Menu Avvio\Programmi\Avvio\Explorer.doc C:\Dati\Normal.dot e tenta di eliminare tutti i file nella cartella Documenti, Windows e System.
Come è andata a finire
Oltre al suo ruolo investigativo, l’FBI ha inviato notizie sul virus e sui suoi effetti, contribuendo ad allertare il pubblico e a ridurre gli impatti distruttivi dell’attacco. Il danno collettivo è stato comunque enorme: circa 80 milioni di dollari per la pulizia e la riparazione dei sistemi informatici colpiti.
Trovare il colpevole non è stato difficile. Questo grazie al suggerimento di un dipendente di AOL e alla collaborazione quasi continua tra FBI, forze dell’ordine del New Jersey e altri. Le autorità hanno rintracciato le impronte digitali del virus a Smith, che fu arrestato nel nord-est del New Jersey il 1 aprile 1999.
Il 10 dicembre 1999, Smith si dichiarò colpevole di un’accusa di secondo grado di furto di computer e di un’accusa federale di danneggiamento di un programma per computer a causa del rilascio del virus. Nel maggio 2002 fu condannato a 20 mesi di prigione federale e ad una multa di 5.000 dollari. Ha inoltre accettato di collaborare con le autorità federali e statali.
[…] contrario di quanto il nome potrebbe far pensare, il worm ILOVEYOU fu tutt’altro che docile ed i danni che ne derivarono furono ingenti. Anche in […]