 |
 |
 |
|
 |
 |
 |
|
 |
|||
|
||||||||||||||||||||||||||
| I-WORM.MYPARTY |
|
||||||
Tutte le informazioni sono state raccole da esperienze personali, da Punto Informatico, e dall'AVP Virus Encyclopedia. Ancora un altro worm è arrivato nella mia email, si tratta di W32.Myparty@mm e fortunatamente è riconoscibile facilmente. Il worm è scritto con Microsoft Visual C++, ed ha peso di circa 30 KB. Ha cominciato a diffondersi a fine gennaio 2002. COME RICONOSCERLO Il worm come dicevo è facilmente riconoscibile. L'oggetto dell'email è infatti sempre la stessa "new photos from my party!", così come il corpo del messaggio "Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!". Come recita il testo, l'allegato può essere ingannevole e può sembrare appunto quel link di cui si parla "www.myparty.yahoo.com". Ai più attenti però sarà sembrato evidente come l'icona che contraddistingue l'allegato (dove presente) è quella di un file eseguibile, che una volta lanciato installerebbe il worm sul pc. COME INFETTA IL TUO PC Questo worm ha la particolarità di non colpire computer la cui data ricada tra il 25 e il 29 gennaio 2002, o dove sia presente il supporto per la lingua russa per la tastiera. Nel caso si verifichi una delle due copia se stesso nella cartella RECLYCER (non è un errore di scrittura!) che crea nel cestino di Windows (RECYCLED), e quindi termina la sua esecuzione. Se non si verifica nessuna delle due eventuaslità prosegue copiando se stesso con il nome regctrl.exe in C:\ in sistemi windows 95/98/ME, o in C:\Recycled in sistemi windows NT/2000/XP, e quindi esegue il file. Una volta eseguito, il worm sposta il file che lo aveva lanciato nella cartella RECYCLER o RECYCLED, cambiandogli nome con uno generato casualmente che inzia sempre per F e termina con una serie di numeri casuali; quindi apre il browser all'URL "http://www.disney.com". COME FUNZIONA Il worm ancora una volta si diffonde utilizzando la posta elettronica, e come mittente l'account dell'utente con il pc infetto. Una volta infettato il sistema procede nel modo seguente:
POSSIBILI SOLUZIONI Verificare se sono presenti i file citati ed eventualmente cancellarli, da dos se sono in esecuzione. In particolare per sistemi windows NT/2000/XP, per i quali è in esecuzione il processo msstask.exe (con doppia S!!!), va aperto il task manager, e una volta individuato il processo chiuso il task; quindi si può cancellare il file msstask.exe, e procedere alla pulizia del pc. Consiglio: per verificare se un worm sta spedendo le email dal vostro pc inserite e lasciatelo li, in testa alla rubrica, un contatto con indirizzo email inesistente (ad es. antivirusdinomeutente@virus.it), cosicché se il worm invierà un messaggio a quell'indirizzo email vi tornerà indietro un messaggio di errore, e potrete rendervi conto della sua azione! |
| www.davidscerrati.too.it |