|
|
| Virus a rischio medio che infetta i file .EXE della cartella \windows e delle sottocartelle. Il virus si attiva ad ogni boot e dopo 5 minuti si spedisce a tutti gli indirizzi e-mail di OUTLOOK, NETSCAPE; gli indirizzi vengono salvati in un file nascosto .DAT sul disco rigido. Oggetto, testo ed allegati possono variare, anche in funzione del contenuto del disco del PC infettante; può inviare contemporaneamente diversi allegati, alcuni non infetti ed uno (.EXE) infetto. Il virus è di tipo polimorfico, criptato ed usa tecniche di antidebug; infetta i file .EXE della cartelle \WINDOWS\SYSTEM e sottocartelle. Decriptando il virus, si trova il seguente testo: "ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler.
written in Malmo (Sweden)". Su alcuni sistemi può cancellare il BIOS e la memoria CMOS, può anche distruggere dei settori del disco fisso.
Sintomi dell'infezione sono:
Dimensione dei file .EXE aumentata di 24KB o più
DATA/Ora di creazione dei file infetti viene modificata
Creazione di un file .DAT che contenente gli indirizzi di chi ha ricevuto il virus
Al file WIN.INI viene aggiunta la stringa RUN=(App)
Modifica del registro di sistema con l'aggiunta della chiave (può anche essere diversa)HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\AppName (varies)=C:\WINDOWS\SYSTEM\(App).EXE
Il virus infetta il sistema copiandosi nella cartella \WINDOWS o \WINDOWS\SYSTEM usando lo stesso nome con l'ultimo carattere alterato; pare che decrementi il valore ASCII di 1. Questo file si occupa dell'infezione vera e propria. Poi copia gli indirizzi e-mail in un file .DAT di nome derivato da quello della macchina locale usando una tecnica di offset senza modificare i numeri. ALIAS del virus sono:
I-Worm.Magistr (CA)
Magistr (F-Secure)
PE_MAGISTR.A (Trend)
W32.Magistr.24876@mm (Symantec
W32/Disemboweler (Panda)
W32/Magistr-a (Sophos)
La rimozione deve essere effettuata tramite gli strumenti specifici degli antivirus.
|
|
