Plage2000, virus worm in libertà

Computer Associates avverte che il worm va diffondendosi sulla rete. Il pericolo è legato alla moltiplicazione del traffico email. Emergono, intanto, i costi della lotta ai virus

Plage2000, virus worm in libertàIslandia (USA) - Plage2000, questo il nome di un virus che va diffondendosi sulla rete e che è stato individuato da Computer Associates, una delle società antivirus più attive. Secondo l'azienda il rischio di diffusione ancora non è particolarmente elevato ma le caratteristiche del virus lo rendono un problema potenziale per server di posta e in generale per le infrastrutture di rete.

In particolare P2000 è un worm pensato per autoreplicarsi via email. In particolare la macchina infetta che riceve un messaggio di posta elettronica, automaticamente re-invia una email "segreta" ed infetta al mittente. Il messaggio che porta in attachment il virus quota interamente il testo dell'email e inserisce all'inizio il testo che segue:
"' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '
> Get your FREE P2000 Mail now! <"
("Cercherò di risponderti il prima possibile/Guarda l'attachment e dimmi che ne pensi/Prenditi la posta gratuita P2000 subito!")

L'attachment che contiene il worm può essere di volta in volta diverso e Computer Associates ha fatto un elenco dei nomi di file sotto le cui "spoglie" appare: pics.exe, images.exe, joke.exe, PsPGame.exe, newsdoc.exe, hamster.exe, tamagotxi.exe, searchURL.exe, SETUP.EXE, Card.EXE, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe, fun.exe.
Una volta eseguito, il file appare come un file zippato autoeseguibile. Se si "unzippa", produce questo messaggio:
"WinZip self-Extractor
ZIP damaged: file worm name: Bad CRC number.
Possible cause: file transfer error"

oppure quest'altro:
"WinZip self-Extractor - worm name:worm name - Application Error The exception unknown software exception (0xc00000fd) occurred in the application ...."

Mentre tutto questo avviene, per convincere l'utente che il file in questione è danneggiato o comunque c'è un problema di sistema sconosciuto, in realtà il virus si copia da sé nella directory di Windows in un file di nome Inetd.exe e si aggiunge al file di registro. Da quel momento e ogni cinque minuti, il virus tenterà di autoinviarsi nelle email in arrivo.

Secondo Computer Associates il virus può rappresentare un problema per le strutture di rete. Per eliminarlo l'azienda propone il suo InoculateIT. Per distruggere il virus vanno cancellati tutti i file eseguibili infetti individuati dall'antivirus e se il worm non può essere cancellato allora sarà necessario rimuovere la stringa del file di registro che contiene "Inetd" ed eventualmente anche Win.ini per poi riavviare la macchina e cancellare il file eseguibile.