Il virus che formatta l'hard disk

L'FBI sta indagando su di un virus che si propaga via rete, formatta simpaticamente l'hard disk e, preso dai sensi di colpa, telefona al pronto soccorso. Un pericoloso burlone

Il virus che formatta l'hard diskWashington (USA) - Strano virus quello su cui sta indagando, in USA, il National Infrastructure Protection Center dell'FBI. Chiamato "911 Share Virus", questo infettante sembra essersi propagato attraverso alcuni grossi provider Internet fino a raggiungere diverse reti aziendali.

I suoi effetti possono essere catastrofici, anche se non manca la burla: il virus, infatti, cancella senza mezzi termini l'hard disk delle vittime oppure, seguendo uno schema casuale, si prende la briga di chiamare via modem il 911, il numero americano per le emergenze.

Fino a questo momento è stata segnalata la presenza di "911 Share Virus" sui network di America Online, MCI WorldCom, AT&T e NetZero. Il virus "si prende" su reti di condivisione dei file e non viene inviato, come accaduto in molti casi in questi mesi, via email.
Il nome "tecnico" del virus è "W95/Firkin.worm" ed è noto dal 22 febbraio anche se fino a pochi giorni fa era classificato come "low risk" per la sua bassa diffusione. E ' anche conosciuto con altri nomi, come "Bat/911" e "Foreskin".

Il worm inizia a "lavorare" su un computer vittima con la copiatura dei file ashield.pif e mstum.pif nel percorso "windows\startm~1\programs\startup". File che sono pronti per "attivarsi" al riavvio della macchina. Ashield.pif fa partire hide.bat, un file che utilizza ashield.exe per nascondere la finestra dedicata alle operazioni del worm che, altrimenti, sarebbe visibile. Mstum.pif, invece, fa girare mstum.bat, ovvero le elaborazioni per cui il virus è stato pensato.

Questo file genera una serie di altri file (da a.bat, b.bat, c.bat.. fino a j.bat) che contengono i codici necessari a scansionare le sottoreti cui è collegata la macchina infetta. Con un elaborato giochino, mstum.bat alla fine riesce a individuare i dischi condivisi nella rete e li rende "aperti" alla condivisione anche da internet. Dopodiché procede alla mappatura del drive infetto che viene chiamato "J:" .

Se tutto gli va per il meglio, i file del worm vengono copiati in "c:\progra~1\foreskin\" e in "j:\progra~1\foreskin". A quel punto infila slam.bat dentro l'autoexec.bat della macchina. Quando questa viene riavviata, potrà tentare di chiamare il 911 oppure, secondo uno schema random, di formattare tutti i dischi rigidi cui riesce ad accedere lasciando un messaggio: "You have been sLamMeD By fOREsKIN mOThERfUCKER".

All'interno del file final.bat, invece, si trovano le righe che seguono:
"REM fOREsKIN sElf rEPlIcAToR vERSION 1.07c final CHAoS (C) 2000 EMD LABS INC
REM rAndOm dEvIStAtOr
REM nOt pErFECt, bUt iT sERvES iTS pUrPosE....bAtCh fIlE pROgRAMmINg
REM sInCe tHis vIrUs uSeS aN .eXe fILe iT cAn pOtEnTiAllY sPReAD otHeR vIRuSeS oThER tHAn iTsElF...cOoL!!!
REM wAs nOt cREaTED bY tHE sAMe pERsON tHAT wROtE tHe nETwORk.vBs sHIt
REM iT wAs jUsT iN mY wAy"

Per rimuovere il tutto, oltre ad un antivirus aggiornato, si può procedere anche cancellando tutti i file generati dal virus.