Virus: SouthPark.exe dalla Germania

Worm, il virus si chiama come una famosa bufala che ancora circola sulla rete. Ma, al contrario di questa, può colpire e potrebbe creare non pochi fastidi. Non è un clone di Love Letter

Virus: SouthPark.exe dalla GermaniaNew York (USA) - Si chiama come il celebre cartone animato il fastidiosissimo virus worm che Computer Associates ha appena annunciato di aver rilevato come "libero sulla rete". Si tratta di South Park.exe, un worm del tutto diverso dal notissimo Love Letter. A differenza di quest'ultimo, non dovrebbe essere difficile individuarlo per gli utenti che non sono tedeschi: nel messaggio a cui si allega e con cui si diffonde sulla rete, infatti, l'unica riga di testo presente è in tedesco.

Il virus, come numerosi worm di questi mesi, è pensato per invadere i sistemi Microsoft Windows, anche Windows2000, attraverso Outlook, l'applicazione di posta elettronica. Per attivarsi non ha bisogno del Windows Scripting Host che era invece "richiesto" da Love Letter. Al momento il worm, scoperto in questi giorni, pare diffondersi con una certa velocità in Austria e Germania.

Il subject del messaggio è "Servus Alter" (qualcosa come: "ciao ragazzo") e la frase nel corpo dell'email è "Hier ist das Spiel, das du unbedingt wolltest!;-)" ("Eccoti il gioco che hai sempre cercato"). In attachment, e qui viene il problema, c'è un file chiamato SouthPark.exe.
Questo file, che essendo un .exe è riconoscibile come eseguibile anche dagli utenti meno esperti, viene aperto da molti proprio per la notorietà assunta dal cartoon di cui prende il nome. Cliccando, l'utente si attende di aprire un gioco e, invece, attiva il virus.

Il codice è Visual Basic 5 e per "girare" ha bisogno che nel sistema sia installata sotto windows/system il file MSVBVM50.DLL. Una volta attivato, il worm si autoinvia a tutti gli indirizzi contenuti nella rubrica di Outlook e copia sé stesso con il suo nome nelle root di tutti i drive che riesce a raggiungere. Dopodiché si copia sotto c:\winguard.exe e si infila nel registro per essere attivato ad ogni reboot del sistema.

Non si ferma qui. Il virus continua la sua azione creando due file, C:\Windowsstart.dll e
C:\Windowssystem.dll, pensati per "segnarsi" la data della prima infezione nel sistema e il numero di volte che il computer è stato riavviato dal momento dell'infezione.

Quando il computer viene riavviato per la prima volta dopo aver contratto il virus, viene creato un file, C:\Windows\Swapfile.vxd, che all'interno contiene codice senza senso e che diventa mano a mano sempre più vasto fino ad occupare tutta la memoria del disco rigido.

Per distruggere il virus occorre cancellare manualmente tutti i file creati dal virus.

Va detto che South Park è anche il nome di un fantomatico virus di cui si parla in una email di avvertimento che ancora gira sulla rete. Si tratta di una bufala che continua "a vivere online" perché alcuni di coloro che la ricevono la prendono per buona e la reinviano a loro volta ad amici e conoscenti?