Roma – Forse di Navidad non si sarebbe parlato se non fosse che il nuovo virus, pur presentandosi in spagnolo, si sta diffondendo in queste ore in molte grandi corporation americane, segno secondo alcuni promodromico di una sua espansione in Europa, forse già in atto.
Navidad non è un virus distruttivo, prende di mira i sistemi Windows e si limita sostanzialmente a “bloccare” il PC impedendo l’utilizzo delle applicazioni. Quando si installa nel sistema, una piccola icona a forma di occhio appare sul desktop e da quel momento non si può più aprire la maggioranza dei software presenti sul computer. Passando con il mouse sull’occhio appare la frase: “Los estamos mirando…” (“lo osserviamo”); cliccando sull’icona appare un pulsante che dice “non premere mai questo bottone” (“Nunca presionar este boton”). Se si insiste e si clicca, invece, appare un titolo “Feliz Navidad” e un testo “Lamentablemente cayo en la tentacion y perdio su computadora”, qualcosa come: “Buon Natale. Purtroppo hai ceduto alla tentazione e ora hai perso il tuo computer”.
Symantec descrive così Navidad: “W32.Navidad è un worm che si replica massicciamente via posta elettronica. Sfrutta MAPI per rispondere a tutti i messaggi presenti nella propria Inbox che abbiano un attachment. Il worm “gira” su Outlook Express e utilizza nel messaggio email lo stesso oggetto dell’email a cui risponde e si allega sotto forma di NAVIDAD.EXE”.
McAfee, che consente di fare una scansione online del proprio computer per cercare il virus, spiega che dal 10 novembre il livello di attenzione sul virus è salito da “basso” a “medio” a causa del forte aumento delle segnalazioni di infezione.
Per evitare di essere infettati dal virus è sufficiente, come per la stragrande maggioranza dei codici worm diffusi via attachment di posta elettronica, non aprire il file allegato.
Si dovesse incorrere nell’infezione, comunque, il computer non sarebbe compromesso ed è sufficiente utilizzare un antivirus aggiornato per rimuoverlo. In alternativa è sufficiente aprire il file di registro (con regedit) e rimuovere le modifiche effettuate al suo interno:
HKEY_CURRENT_USERSOFTWARENavidad
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Win32BaseServiceMOD=C:WINDOWSSYSTEMwinsvrc.exe
HKEY_CLASSES_ROOTexefileshellopencommand
(default)=C:WINDOWSSYSTEMwinsvrc.exe “%1” %*
HKEY_LOCAL MACHINESoftwareCLASSESexefileshellopencommand
(default)=C:WINDOWSSYSTEMwinsvrc.exe “%1” %*
Nel corso della sessione si può “disabilitare” il worm semplicemente cliccando sull’icona che appare nel tray e chiudendo il pulsante che appare con su scritto: “non mi cliccare”. A quel punto si apre una finestra di dialogo e basta cliccare su Ok per chiudere definitivamente il “programma”.