911, il virus è ormai inoffensivo

Dai laboratori Symantec arriva la conferma che il codice, che va diffondendosi con una certa velocità, anche se in Europa è stato solo avvistato, può ora essere distrutto in automatico

911, il virus è ormai inoffensivoWeb - Sul 911, virus distruttivo e di veloce diffusione, si era scatenata una piccola gara tra i diversi produttori di antivirus, discordi sulla sua effettiva diffusione. Pare che prima al traguardo degli annunci sia giunta Symantec che in una nota ha parlato di una "cura" contro l'odiato codice. Cura disponibile, con tutte le info, sul sito del SARC, i laboratori dell'azienda. Va detto comunque che la rimozione del virus non è in sé un'operazione particolarmente complessa.

Come si ricorderà, sul 911, W95/Firkin.worm per gli amici, è stata addirittura aperta un'indagine del National Infrastructure Protection Center americano. Il virus, infatti, oltre a divertirsi a cancellare i dati sui computer vittima, provvedeva anche a telefonare al 911, numero americano per le emergenze (il nostro 113).

Si tratta di un virus che "si prende" su reti di condivisione dei file e non viene inviato, come accaduto in molti casi in questi mesi, via email. Il nome "tecnico" del virus è "W95/Firkin.worm" ed è noto dal 22 febbraio. E ' anche conosciuto con altri nomi, come "Bat/911" e "Foreskin".
Il worm inizia a "lavorare" su un computer vittima con la copiatura dei file ashield.pif e mstum.pif nel percorso "windows\startm~1\programs\startup". File che sono pronti per "attivarsi" al riavvio della macchina. Ashield.pif fa partire hide.bat, un file che utilizza ashield.exe per nascondere la finestra dedicata alle operazioni del worm che, altrimenti, sarebbe visibile. Mstum.pif, invece, fa girare mstum.bat, ovvero le elaborazioni per cui il virus è stato pensato.

Questo file genera una serie di altri file (da a.bat, b.bat, c.bat... fino a j.bat) che contengono i codici necessari a scansionare le sottoreti cui è collegata la macchina infetta. Con un elaborato giochino, mstum.bat alla fine riesce a individuare i dischi condivisi nella rete e li rende "aperti" alla condivisione anche da internet. Dopodiché procede alla mappatura del drive infetto che viene chiamato "J:".

Se tutto gli va per il meglio, i file del worm vengono copiati in "c:\progra~1\foreskin\" e in "j:\progra~1\foreskin". A quel punto infila slam.bat dentro l'autoexec.bat della macchina. Quando questa viene riavviata, potrà tentare di chiamare il 911 oppure, secondo uno schema random, di formattare tutti i dischi rigidi cui riesce ad accedere lasciando un messaggio: "You have been sLamMeD By fOREsKIN mOThERfUCKER".

All'interno del file final.bat, invece, si trovano le righe che seguono:
"REM fOREsKIN sElf rEPlIcAToR vERSION 1.07c final CHAoS (C) 2000 EMD LABS INC
REM rAndOm dEvIStAtOr
REM nOt pErFECt, bUt iT sERvES iTS pUrPosE....bAtCh fIlE pROgRAMmINg
REM sInCe tHis vIrUs uSeS aN .eXe fILe iT cAn pOtEnTiAllY sPReAD otHeR vIRuSeS oThER tHAn iTsElF...cOoL!!!
REM wAs nOt cREaTED bY tHE sAMe pERsON tHAT wROtE tHe nETwORk.vBs sHIt
REM iT wAs jUsT iN mY wAy"
TAG: mercato