Da: Il punto informatico.
Ci voleva anche MyParty
Ecco cosa fare da
"Il punto informatico"
Kyara
----------------------
Il virus MyParty si espande online
Dopo un giorno di incubazione dilaga anche in Italia un nuovo worm capace
di ingannare gli utenti e farsi passare come un innocuo allegato. In realtà
agisce sul browser, crasha il PC, intasa i mail server. I dettagli Stampa
Segnala via email
29/01/02 - News - Roma - L'allarme era partito durante il week-end ma ieri
i principali osservatori antivirus hanno notato una forte accelerazione di
un nuovo worm, che i labs dei produttori di software di sicurezza hanno
denominato "W32.Myparty@mm". Stando alle segnalazioni giunte a Punto
Informatico, appare evidente una forte diffusione del worm nelle ultime ore
anche in Italia.
Il programmino aggressivo si diffonde ancora una volta via posta
elettronica sui sistemi Windows. W32.MyParty, infatti, arriva come allegato
infetto di una email che ha per mittente un utente nella cui rubrica il
worm ha trovato gli indirizzi a cui auto-spedirsi: un meccanismo utilizzato
da molti worm che si traduce nel fatto che chi riceve l'email con
l'attachment infetto potrebbe essere indotto ad aprire l'allegato proprio
perché conosce chi ha spedito il messaggio.
L'email è in sé facilmente individuabile se si considera che ha per subject
la frase: "new photos from my party!". Il testo del messaggio, poi, al
contrario di altri worm più aggressivi, è sempre lo stesso:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
L'allegato infetto ha un nome che può effettivamente sembrare il link ad un
sito sotto Yahoo, un sito che contenga le immagini di cui parla il
messaggio. Il nome dell'attachment è "www.myparty.yahoo.com" e chi lo
lanciasse consentirebbe al worm di installarsi nel proprio computer.
Quando viene eseguito, la prima cosa che il worm fa è controllare la data
del computer. Se la data non è compresa tra il 25 e il 29 gennaio 2002 (con
datazione scritta "all'americana") o se la tastiera impostata sul computer
è russa, allora il worm si copia in una directory casuale sotto
C:recycled. In caso contrario, come indicato dai labs di Symantec,
continua la sua azione.
A quel punto, se il worm utilizza come nome di file casuale con cui si è
impiantato nel sistema il termine "access", allora tutto quello che fa è
tentare di lanciare il browser dell'utente e fargli aprire la pagina
http://www.disney.com.
Se il nome di file ha invece un'estensione.com, allora il worm si copia
automaticamente in:
C:regctrl.exe (su sistemi Windows NT, 2000 o XP)
oppure in:
C:Recycledregctrl.exe (su Windows 9x o WindowsMe).
Fatto questo, lancia il file "regctrl.exe" per autoreplicarsi.
Se il nome di file ha una estensione.exe, come appunto regctrl.exe, allora
il worm inizia la scansione della Rubrica di Windows nonché i file delle
cartelline di Outlook Express, a caccia di indirizzi email. A questi tenta
dunque di autoinviarsi sfruttando un proprio servizio SMTP, sfruttando lo
stesso indirizzo di server utilizzato di default dall'utente infetto. I
messaggi così inviati, come detto, appaiono come spediti dall'utente stesso.
Su Windows NT, 2000 e XP, il worm tenta anche di copiarsi in "WindowsStart
MenuProgramsStartupmsstask.exe" per riavviarsi ad ogni reboot di Windows.
Alla fine delle sue operazioni, il worm invia un messaggio email a
napster@gala.net, che secondo gli esperti è un'email con cui l'autore del
virus tiene traccia della diffusione ottenuta dal suo worm...
Per proteggersi dal worm, oltre a non aprire le email con queste
caratteristiche, è senz'altro utile scaricare le ultime definizioni
antivirus del proprio programma di protezione. Qualora si fosse rimasti
infetti si può scansionare il sistema a caccia dei file "W32.MyParty@mm" o
di "regctrl.exe" e cancellare tutto quello che si trova.
Riportato da Il punto informatico.
Registrazione