Roma – L’allarme era partito durante il week-end ma ieri i principali osservatori antivirus hanno notato una forte accelerazione di un nuovo worm, che i labs dei produttori di software di sicurezza hanno denominato “W32.Myparty@mm”. Stando alle segnalazioni giunte a Punto Informatico, appare evidente una forte diffusione del worm nelle ultime ore anche in Italia.
Il programmino aggressivo si diffonde ancora una volta via posta elettronica sui sistemi Windows. W32.MyParty, infatti, arriva come allegato infetto di una email che ha per mittente un utente nella cui rubrica il worm ha trovato gli indirizzi a cui auto-spedirsi: un meccanismo utilizzato da molti worm che si traduce nel fatto che chi riceve l’email con l’attachment infetto potrebbe essere indotto ad aprire l’allegato proprio perché conosce chi ha spedito il messaggio.
L’email è in sé facilmente individuabile se si considera che ha per subject la frase: “new photos from my party!”. Il testo del messaggio, poi, al contrario di altri worm più aggressivi, è sempre lo stesso:
Hello!
My party… It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
L’allegato infetto ha un nome che può effettivamente sembrare il link ad un sito sotto Yahoo, un sito che contenga le immagini di cui parla il messaggio. Il nome dell’attachment è “www.myparty.yahoo.com” e chi lo lanciasse consentirebbe al worm di installarsi nel proprio computer.
Quando viene eseguito, la prima cosa che il worm fa è controllare la data del computer. Se la data non è compresa tra il 25 e il 29 gennaio 2002 (con datazione scritta “all’americana”) o se la tastiera impostata sul computer è russa, allora il worm si copia in una directory casuale sotto C:recycled. In caso contrario, come indicato dai labs di Symantec, continua la sua azione.
A quel punto, se il worm utilizza come nome di file casuale con cui si è impiantato nel sistema il termine “access”, allora tutto quello che fa è tentare di lanciare il browser dell’utente e fargli aprire la pagina www.disney.com.
Se il nome di file ha invece un’estensione.com, allora il worm si copia automaticamente in:
C:regctrl.exe (su sistemi Windows NT, 2000 o XP)
oppure in:
C:Recycledregctrl.exe (su Windows 9x o WindowsMe).
Fatto questo, lancia il file “regctrl.exe” per autoreplicarsi.
Se il nome di file ha una estensione.exe, come appunto regctrl.exe, allora il worm inizia la scansione della Rubrica di Windows nonché i file delle cartelline di Outlook Express, a caccia di indirizzi email. A questi tenta dunque di autoinviarsi sfruttando un proprio servizio SMTP, sfruttando lo stesso indirizzo di server utilizzato di default dall’utente infetto. I messaggi così inviati, come detto, appaiono come spediti dall’utente stesso.
Su Windows NT, 2000 e XP, il worm tenta anche di copiarsi in “WindowsStart MenuProgramsStartupmsstask.exe” per riavviarsi ad ogni reboot di Windows.
Alla fine delle sue operazioni, il worm invia un messaggio email a napster@gala.net, che secondo gli esperti è un’email con cui l’autore del virus tiene traccia della diffusione ottenuta dal suo worm…
Per proteggersi dal worm, oltre a non aprire le email con queste caratteristiche, è senz’altro utile scaricare le ultime definizioni antivirus del proprio programma di protezione. Qualora si fosse rimasti infetti si può scansionare il sistema a caccia dei file “W32.MyParty@mm” o di “regctrl.exe” e cancellare tutto quello che si trova.