Roma – Ieri pomeriggio l’osservatorio permanente di Trend Micro ha confermato a Punto Informatico che in queste ore si sta diffondendo anche in Europa e in Italia un nuovo virus che ha origine negli Stati Uniti e che colpisce i sistemi Windows.
Si tratta di Troj_Matcher.a , un virus che Trend Micro, uno dei principali produttori di software di sicurezza, considera non molto pericoloso ma ad alta capacità di diffusione, tanto da classificare l’allarme con la formula: “Red Alert”. Si tratta di una formula che viene annunciata in presenza di un alto numero di segnalazioni della presenza del worm. Anche Symantec in queste ore sta avvertendo i propri clienti dell’emergere del virus.
“TROJ_MATCHER.A” è un file che si diffonde come molti suoi predecessori come allegato ad un messaggio di posta elettronica. Si presenta come un sistema per “individuare la persona ideale” da amare. Si può riconoscere facilmente perché nel subject dell’email infetta si trova la parola “Matcher” e l’allegato ha come nome “matcher.exe”. Le dimensioni dell’allegato sono di 28,672 byte. Il corpo del messaggio è costituito da questa frase: “Want to find your lovemates! Try this its cool.. Looks and Attitude Matching to opposite sex”.
Scritto con Visual Basic 6.0, il worm utilizza il componente Microsoft Script Control di Visual Basic per propagarsi utilizzando il client di posta elettronica utilizzato dall’utente. Una volta “dentro”, il worm va a cercare tutti i destinatari che si trovano nella rubrica di Windows e prepara un’email infetta da inviare a ciascuno di essi, secondo un “percorso” già ampiamente sfruttato da codici precedenti.
Quando viene eseguito, infatti, il virus si copia nella cartellina di sistema di Windows e si infila nel registro. Dopodiché modifica il file autoexec.bat nella root di C: infilandoci l’istruzione:
@echo off
echo from: Bugger
pause
Questo fa sì che ad ogni riavvio del sistema appaia il messaggio:
from: Bugger
Trend Micro ha già approntato uno scanner per l’individuazione del virus sul proprio sistema. Se si viene colpiti, per “ripulire” il sistema è necessario eliminare tutti i file Troj_Matcher presenti, cancellare dal file di registro la chiave “HKLM/Software/Microsoft/Windows/CurrentVersion/Run/{Default}= Windows System Directory/matcher.exe” dopodiché cancellare nell’autoexec.bat il comando di troppo.