|
|
| BUONGIORNO!
Il worm VBS.VBSWG2.X@mm --noto come HOMEPAGE, distibuito anche con i nomi I-Worm.Homepage, VBS.HomePage, VBS.VBSWG2.D@mm, VBSWG.X@MM, VBS/VBSWG-X, VBS_HomePage.A, VBSWG.X-- è stato scoperto nella prima settimana di maggio 2001 ed è in fase di rapida espansione.-
Si tratta di un virus criptato scritto in Visual Basic che sfrutta una nota debolezza di Microsoft Outlook Express per inviarsi a tutti gli indirizzi della rubrica.-
Il codice è lungo solo 2436 byte e non sembra causare grandi danni materiali.-
Arriva tramite una mail con oggetto: HOMEPAGE, un allegato dal titolo homepage.HTML.vbs e con lunghezza 2436 byte ed il seguente testo:
Hi!
You've got to see this page! It's really cool ;O)
La visualizzazione del nome dell'allegato termina dopo il primo punto: il nome dell'allegato viene quindi visualizzato come homepage.HTML, facendo credere che si tratti di una normale pagina WEB mentre in realtà si tratta di un codice VBS.-
L'incauto navigatore apre l'allegato e si infetta.-
L'esecuzione del codice virale effettua in sequenza le seguenti operazioni:
1- Ricerca i messaggi con oggetto HOMEPAGE e li cancella
2- Si autoinvia a tutti gli indirizzi della rubrica di Microsoft Outlook Express
3- Crea la chiave del registro di sistema HKEY_CURRENT_USER\Software\An\mailed e ne setta il valore ad 1, in modo da autospedirsi una volta sola
4- Sceglie a caso uno dei 4 pornisiti che ha in memoria e lo apre
Per rimuovere il worm, occorre:
1- Cancellare i file di nome VBS.VBSWG2.X@mm.
2- Lanciare la versione aggiornata di un buon antivirus
3- Non è indispensabile rimuovere la chiave di registro creata dal worm.-
Ancora una volta, ricordo che il miglior antivirus siamo noi stessi: navigare senza antivirus o aprire allegati di posta elettronica di provenienza dubbia è un comportamento a grave rschio.-
Buon lavoro.......
PNP - P.PENSA
pnp@pnpdipensa.com - http://www.pnpdipensa.com
|
|
