Miss World, virus che formatta C:

Ma la sua diffusione è tutt'altro che preoccupante. Più che far paura, questo worm colpisce per la fantasia di chi lo ha creato. Dentro c'è tutto quello che va dalle belle candidate del concorso di bellezza Miss World al volto di Mr Bean

Miss World, virus che formatta C:Roma - Nelle scorse ore il centro antivirus dell'azienda specializzata britannica Sophos ha dato la notizia dell'avvistamento di un nuovo virus-worm, denominato "Miss World".

Stando a quanto riportato da Sophos e, nelle ore successive, anche da altri specialisti del settore, tra i quali i laboratori SARC di Symantec, il worm è altamente distruttivo se viene attivato ma la sua diffusione non desta alcuna preoccupazione. Addirittura Sophos rivela: "Al momento Sophos non ha rilevato alcuna infezione ma ha rilasciato questo avviso per l'interesse dei media". E, in effetti, questo worm è interessante.

Il codicillo si diffonde via posta elettronica sfruttando, come tanti altri predecessori, la rubrica di Outlook dei file che riesce ad infettare. Il messaggio che lo contiene si presenta con la frase "Miss World" nel subject.
Il testo è invece: "Hi, (nome del destinatario), Enjoy the latest pictures of Miss World from various Country" (trad: "Ciao, divertiti con le ultime fotografie delle candidate Miss World da diversi paesi"). Nel testo si infila automaticamente il nome che la rubrica di Outlook associa all'indirizzo email a cui invia il messaggio infetto, un elemento pensato evidentemente per ingannare chi riceve quell'email e spingerlo a ritenerla "legittima".

Il file allegato è misworld.exe, oppure MissWorld.exe, MWld.exe o MWrld.exe. In tutti i casi si tratta di un.exe da 131.072 byte, un eseguibile che, come tale, sembra destinato a mettere in allarme gli utenti che più difficilmente saranno portati ad aprirlo.

Se il file viene aperto, parte un'animazione in Flash che presenta un piccolo "cartone animato" (riprodotto qui a fianco) con la scritta: "Mi innamoro di più di te ogni giorno!". Non contento, il virus inizia a mostrare immagini che vengono spacciate come quelle delle candidate al concorso di bellezza Miss World. Le immagini mostrano quella che si presenta come "Miss Africa" (la cui testa viene rimpiazzata da quella di un gorilla), come "Miss Finlandia" e infine come "Miss Gran Bretagna". Il volto di quest'ultima è stato sostituito da quello di Rowan Atkinson, il celebre autore-interprete del personaggio televisivo Mr Bean.

Il problema vero, per chi dovesse mai avere il computer infettato da questo codice, sta però nel fatto che il virus infila nel file autoexec.bat sulla root di C: un comando che, al successivo riavvio del computer, tenterà di cancellare i file user.dat e system.dat e tenterà poi di formattare il disco C:. Il tutto facendo apparire a monitor la frase: "This Everything for my Girl Friend...., (CatEyes, KRSSL, SS Hostel)".

Si dovesse mai incorrere in questo virus, cosa che sembra fortunatamente improbabile, si potranno utilizzare gli antivirus dei diversi produttori che in queste ore vengono aggiornati per riconoscere e distruggere il virus. Di sicuro, la prima cosa da fare è aprire autoexec.bat e verificarne l'integrità, cancellando il comando "Format C: /q /autotest" che il worm infila al suo interno.
14 Commenti alla Notizia Miss World, virus che formatta C:
Ordina
  • Allora, vediamo un po'... sto laMERD di virii formatta, eh? mmmmm...... nn mi sta bene
    Allora vi consiglio di rinominare i file FORMAT.COM e DELTREE.EXE che si trovano in
    %windir%\command (di solito, infatti possono sta pure nella path del DOS) e chiamarli in quello che volete. Magari fate pure un programmillo che al suo avvio scrive "FORMAT.COM è stato eseguito"
    (scriveteci quello che vi pare) e mettetelo al posto dell'originale, così quando qualcosa tenta di avviarlo, vi messaggia la vostra scritta...
    PS: se non siete grandi programmatori lo potete fare anke in batch e poi, con una utility tipo bat2com lo trasformate in com. Per chi nn è esperto, ve lo faccio in 2 righe:
    **CUT HERE
    @echo off
    echo FORMAT.COM è STATO AVVIATO CON I PARAMETRI:
    echo %1 %2 %3 %4
    pause
    **CUT HERE

    non è il massimo, ma io già mi sento + sikuro...
    non+autenticato

  • peack
    - Scritto da: HomoSapiens
    > Allora, vediamo un po'... sto laMERD di
    > virii formatta, eh? mmmmm...... nn mi sta
    > bene
    > Allora vi consiglio di rinominare i file
    > FORMAT.COM e DELTREE.EXE che si trovano in
    > %windir%\command (di solito, infatti possono
    > sta pure nella path del DOS) e chiamarli in
    > quello che volete. Magari fate pure un
    > programmillo che al suo avvio scrive
    > "FORMAT.COM è stato eseguito"
    > (scriveteci quello che vi pare) e mettetelo
    > al posto dell'originale, così quando
    > qualcosa tenta di avviarlo, vi messaggia la
    > vostra scritta...
    > PS: se non siete grandi programmatori lo
    > potete fare anke in batch e poi, con una
    > utility tipo bat2com lo trasformate in com.
    > Per chi nn è esperto, ve lo faccio in 2
    > righe:
    > **CUT HERE
    > @echo off
    > echo FORMAT.COM è STATO AVVIATO CON I
    > PARAMETRI:
    > echo %1 %2 %3 %4
    > pause
    > **CUT HERE
    >
    > non è il massimo, ma io già mi sento +
    > sikuro...

    Sem plice e genialeSorride)))
    non+autenticato
  • oltre ad essere un virus da idoti paranoici e segaioli, vorrei vedere chi diavolo fa click su un eseguibile ricevuto via e-mail !
    non+autenticato


  • - Scritto da: punto exe
    > oltre ad essere un virus da idoti paranoici
    > e segaioli, vorrei vedere chi diavolo fa
    > click su un eseguibile ricevuto via e-mail !

    Uno che scrive "idoti" (due volte...) invece di "idioti" potrebbe farlo....
    fraternamente
    non+autenticato
  • Saresti sopreso nel conoscere quanto sia sconfinata la curiosita' della gente.

    "Curiosity Killed the cat" ma pure l'uomo Sorride

    Tra parentesi non tutti i mail servers scansionano gli allegati in formato .exe. Per quelli dove cio' avviene il problema non si pone ma per altri rimane..

    - Scritto da: punto exe
    > oltre ad essere un virus da idoti paranoici
    > e segaioli, vorrei vedere chi diavolo fa
    > click su un eseguibile ricevuto via e-mail !
    non+autenticato


  • - Scritto da: punto exe
    > oltre ad essere un virus da idoti paranoici
    > e segaioli, vorrei vedere chi diavolo fa
    > click su un eseguibile ricevuto via e-mail !

    E' vero che è un virii da segaioli =)))
    però ci sono tante tecniche per far sembrare jpg un file exe....
    sai quanti nemici ho distrutto? =))
    non+autenticato
  • il caro vekkio formattone hehehe


    c:\>format c:/q/autotest

    :P


    non+autenticato
  • Il file autoexec.bat non viene processato dai sistemi NT, quindi...

    non+autenticato
  • L'articolo recita: "Il problema vero, per chi dovesse mai avere il computer infettato da questo codice, sta però nel fatto che il virus infila nel file autoexec.bat sulla root di C: un comando che, al successivo riavvio del computer, tenterà di cancellare i file user.dat e system.dat e tenterà poi di formattare il disco C:. Il tutto facendo apparire a monitor la frase: "This Everything for my Girl Friend...., (CatEyes, KRSSL, SS Hostel)"."

    In realta' cerca anche di rimuovere i files USER.DA0 e SYSTEM.DA0. Questi sono gli unici che riesce a rimuove con successo perche' gli omonimi con estensione .DAT essendo in uso non verranno cancellati.

    Tutto qui. Vedremo quanto si diffondera'....Secondo me molti di piu' non appena il resto dell'Europa e dell'Asia si svegliera'.
    non+autenticato
  • > root di C: un comando che, al successivo
    > riavvio del computer, tenterà di cancellare
    > i file user.dat e system.dat e tenterà poi
    > di formattare il disco C:. Il tutto facendo
    > apparire a monitor la frase: "This
    > Everything for my Girl Friend...., (CatEyes,
    > KRSSL, SS Hostel)"."
    >
    > In realta' cerca anche di rimuovere i files
    > USER.DA0 e SYSTEM.DA0. Questi sono gli unici
    > che riesce a rimuove con successo perche'
    > gli omonimi con estensione .DAT essendo in
    > uso non verranno cancellati.

    Direi proprio di no: durante l'avvio e l'esecuzione quindi di autoexec.bat questi files sono tali e quali ad altri, quindi non sono ancora in uso; questo, ovviamente, almeno finchè non viene completato il caricamento di autoexec.bat stesso e windows inizia a caricarsi veramente (se ci riesce ^__^)...

    Inoltre l'eliminazione dei da0 sarebbe quasi inutile, visto che vengono utilizzati solo di rado per controllo, backup o altro, ma non sono essenziali per il funzionamento di Windows che, tra l'altro, li rimpiazza al successivo riavvio...

    Saluti
    non+autenticato

  • > Inoltre l'eliminazione dei da0 sarebbe quasi
    > inutile, visto che vengono utilizzati solo
    > di rado per controllo, backup o altro, ma
    > non sono essenziali per il funzionamento di
    > Windows che, tra l'altro, li rimpiazza al
    > successivo riavvio...

    i .DA0 sono la copia dell'ultima versione dei corrispondenti .DAT.
    Ad ogni avvio, finito il caicamento, Win fa una copia dei .DAT in .DA0
    Questo per fare in modo che se si toccano i registri di sistema tramite l'install di una periferica, per esempio, e winzoz non riparte +, posso, da riga di comando, cancellare i .DAT e rimpiazzarli con i .DA0, che sono la copia del registro dell'ultimo avvio valido di winzoz.
    Ovviamente uno schifosissimo .BAT che facesse questo per l'utente inesperto nessuno della M$ ha pensato di inserirlo, e che magari nel manuale ci fosse sceitto;" in caso di mancato riavvio, avviare in modalità dos e lanciare il seguante comando xxxxx.BAT.
    non+autenticato
  • Si vede che in M$ pensano sia meglio che nessuno sappia cosa diavolo fa winzozz quando parte !

    - Scritto da: l <MCfc>
    >
    > > Inoltre l'eliminazione dei da0 sarebbe
    > quasi
    > > inutile, visto che vengono utilizzati solo
    > > di rado per controllo, backup o altro, ma
    > > non sono essenziali per il funzionamento
    > di
    > > Windows che, tra l'altro, li rimpiazza al
    > > successivo riavvio...
    >
    > i .DA0 sono la copia dell'ultima versione
    > dei corrispondenti .DAT.
    > Ad ogni avvio, finito il caicamento, Win fa
    > una copia dei .DAT in .DA0
    > Questo per fare in modo che se si toccano i
    > registri di sistema tramite l'install di una
    > periferica, per esempio, e winzoz non
    > riparte +, posso, da riga di comando,
    > cancellare i .DAT e rimpiazzarli con i .DA0,
    > che sono la copia del registro dell'ultimo
    > avvio valido di winzoz.
    > Ovviamente uno schifosissimo .BAT che
    > facesse questo per l'utente inesperto
    > nessuno della M$ ha pensato di inserirlo, e
    > che magari nel manuale ci fosse sceitto;" in
    > caso di mancato riavvio, avviare in modalità
    > dos e lanciare il seguante comando
    > xxxxx.BAT.
    non+autenticato
  • - Scritto da: CO2
    > Si vede che in M$ pensano sia meglio che
    > nessuno sappia cosa diavolo fa winzozz
    > quando parte !
    >
    > - Scritto da: l <MCfc>
    > >
    > > > Inoltre l'eliminazione dei da0 sarebbe
    > > quasi
    > > > inutile, visto che vengono utilizzati
    > solo
    > > > di rado per controllo, backup o altro,
    > ma
    > > > non sono essenziali per il
    > funzionamento
    > > di
    > > > Windows che, tra l'altro, li rimpiazza
    > al
    > > > successivo riavvio...
    > >
    > > i .DA0 sono la copia dell'ultima versione
    > > dei corrispondenti .DAT.
    > > Ad ogni avvio, finito il caicamento, Win
    > fa
    > > una copia dei .DAT in .DA0
    > > Questo per fare in modo che se si toccano
    > i
    > > registri di sistema tramite l'install di
    > una
    > > periferica, per esempio, e winzoz non
    > > riparte +, posso, da riga di comando,
    > > cancellare i .DAT e rimpiazzarli con i
    > .DA0,
    > > che sono la copia del registro dell'ultimo
    > > avvio valido di winzoz.
    > > Ovviamente uno schifosissimo .BAT che
    > > facesse questo per l'utente inesperto
    > > nessuno della M$ ha pensato di inserirlo,
    > e
    > > che magari nel manuale ci fosse sceitto;"
    > in
    > > caso di mancato riavvio, avviare in
    > modalità
    > > dos e lanciare il seguante comando
    > > xxxxx.BAT.

    O forse pensavano fosse un'operazione troppo complessa per l'utente medio.
    non+autenticato


  • - Scritto da: MaurizioB
    > > root di C: un comando che, al successivo
    > > riavvio del computer, tenterà di
    > cancellare
    > > i file user.dat e system.dat e tenterà poi
    > > di formattare il disco C:. Il tutto
    > facendo
    > > apparire a monitor la frase: "This
    > > Everything for my Girl Friend....,
    > (CatEyes,
    > > KRSSL, SS Hostel)"."
    > >
    > > In realta' cerca anche di rimuovere i
    > files
    > > USER.DA0 e SYSTEM.DA0. Questi sono gli
    > unici
    > > che riesce a rimuove con successo perche'
    > > gli omonimi con estensione .DAT essendo in
    > > uso non verranno cancellati.
    >
    > Direi proprio di no: durante l'avvio e
    > l'esecuzione quindi di autoexec.bat questi
    > files sono tali e quali ad altri, quindi non
    > sono ancora in uso; questo, ovviamente,
    > almeno finchè non viene completato il
    > caricamento di autoexec.bat stesso e windows
    > inizia a caricarsi veramente (se ci riesce
    > ^__^)...
    >
    > Inoltre l'eliminazione dei da0 sarebbe quasi
    > inutile, visto che vengono utilizzati solo
    > di rado per controllo, backup o altro, ma
    > non sono essenziali per il funzionamento di
    > Windows che, tra l'altro, li rimpiazza al
    > successivo riavvio...

    Che l'eliminazione dei .DA0 sia inutile e' un paio di maniche, che il worm la faccia e' un altro. Come ti ha detto <MCfc> l'uso e' di back-up.

    Se poi sei proprio cosi' convinto che non sia cosi', allora ti invito ad andare qui:
    http://vil.mcafee.com/dispVirus.asp?virus_k=99099

    non tanto perche' c'e' scritto, quanto perche' ci lavoro e sono certo di quello del payload di un virus, worm, hoax o trojan che sia.

    Ciao.
    non+autenticato