Plage2000, virus worm in libertÓ

Computer Associates avverte che il worm va diffondendosi sulla rete. Il pericolo Ŕ legato alla moltiplicazione del traffico email. Emergono, intanto, i costi della lotta ai virus

Plage2000, virus worm in libertÓIslandia (USA) - Plage2000, questo il nome di un virus che va diffondendosi sulla rete e che Ŕ stato individuato da Computer Associates, una delle societÓ antivirus pi¨ attive. Secondo l'azienda il rischio di diffusione ancora non Ŕ particolarmente elevato ma le caratteristiche del virus lo rendono un problema potenziale per server di posta e in generale per le infrastrutture di rete.

In particolare P2000 Ŕ un worm pensato per autoreplicarsi via email. In particolare la macchina infetta che riceve un messaggio di posta elettronica, automaticamente re-invia una email "segreta" ed infetta al mittente. Il messaggio che porta in attachment il virus quota interamente il testo dell'email e inserisce all'inizio il testo che segue:
"' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '
> Get your FREE P2000 Mail now! <"
("Cercher˛ di risponderti il prima possibile/Guarda l'attachment e dimmi che ne pensi/Prenditi la posta gratuita P2000 subito!")

L'attachment che contiene il worm pu˛ essere di volta in volta diverso e Computer Associates ha fatto un elenco dei nomi di file sotto le cui "spoglie" appare: pics.exe, images.exe, joke.exe, PsPGame.exe, newsdoc.exe, hamster.exe, tamagotxi.exe, searchURL.exe, SETUP.EXE, Card.EXE, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe, fun.exe.
Una volta eseguito, il file appare come un file zippato autoeseguibile. Se si "unzippa", produce questo messaggio:
"WinZip self-Extractor
ZIP damaged: file worm name: Bad CRC number.
Possible cause: file transfer error"

oppure quest'altro:
"WinZip self-Extractor - worm name:worm name - Application Error The exception unknown software exception (0xc00000fd) occurred in the application ...."

Mentre tutto questo avviene, per convincere l'utente che il file in questione Ŕ danneggiato o comunque c'Ŕ un problema di sistema sconosciuto, in realtÓ il virus si copia da sÚ nella directory di Windows in un file di nome Inetd.exe e si aggiunge al file di registro. Da quel momento e ogni cinque minuti, il virus tenterÓ di autoinviarsi nelle email in arrivo.

Secondo Computer Associates il virus pu˛ rappresentare un problema per le strutture di rete. Per eliminarlo l'azienda propone il suo InoculateIT. Per distruggere il virus vanno cancellati tutti i file eseguibili infetti individuati dall'antivirus e se il worm non pu˛ essere cancellato allora sarÓ necessario rimuovere la stringa del file di registro che contiene "Inetd" ed eventualmente anche Win.ini per poi riavviare la macchina e cancellare il file eseguibile.