Il conto alla rovescia è iniziato: Blackworm si scatenerà il 3 Febbraio causando la cancellazioni di importanti file sui computer di oltre 300.000 utenze. E’ questo, infatti, il numero di computer infettati stimato ad oggi. Il worm (ribattezzato formalmente anche come “Nyxem.E”) ha un particolare processo tale da permettere agli autori di tenere il conto delle infezioni grazie al collegamento ad un apposito contatore che enumera gli attacchi andati a buon fine. Appoggiandosi alla collaborazione dell’ISP che ospita il sito con il contatore, il LURHQ Threat Intelligence Group ha analizzato gli indirizzi IP dei vari contatti potendo rilevare come i paesi più colpiti dal problema siano nell’ordine l’India, il Perù e l’Italia.
Il worm avanza grazie ad utenti che aprono l’allegato promettente immagini di seducenti ragazze (per questo motivo il worm è stato anche ribattezzato “KamaSutra” o “MyWife.E”), si installa in alcune specifiche directory, elimina gli antivirus installati e rimane quindi silente fino al giorno 3 di ogni mese, quando l’attacco si scatena in tutta la sua forza tentando la cancellazione di vari file .doc, .xls, .mdb, zip, eccetera.
Nel tranello delle immagini porno l’Italia è uno dei paesi che è caduto di più: al terzo posto con oltre 22.000 infezioni (rilevazione già vecchia di qualche giorno), il paese vivrà pesantemente sulla propria pelle i danni di un’infezione che fin da subito aveva evidenziato tutta la sua pericolosità (nonostante la tecnica di infezione non sia particolarmente innovativa). Turchia e Stati Uniti sono rispettivamente il terzo ed il quarto paese più colpiti dal problema. Il ritmo di crescita di Nyxem.E è stato paragonato dal LURHQ a quello di noti predecessori di quali Sober o Mydoom.
Per prevenire l’infezione è sufficiente dotarsi di un antivirus aggiornato o evitare l’apertura di allegati mail poco affidabili. Per risolvere un’infezione già attiva o per verificare lo stato di salute del proprio sistema rispetto al worm è invece possibile scaricare l’apposito file risolutivo messo a disposizione da F-Secure (F-Force). Microsoft ha disposto invece la pubblicazione di una serie di istruzioni dettagliate per la rimozione manuale del worm.