Roma – Il numero dei virus in circolazione in queste settimane sta aumentando esponenzialmente e dunque aumentano anche i virus capaci di diffondersi rapidamente. Tra questi, nelle ultime ore, viene segnalato come già molto diffuso il virus Forgotten, capace di attivarsi semplicemente all’apertura dell’email che lo contiene.
Scoperto solo due giorni fa, Forgotten è stato “denunciato ufficialmente” ieri in una nota di Panda Software che sottolinea la pericolosità di questo codice, che segue la strada di due altri notissimi virus, Bubbleboy e Kakworm, il secondo ritenuto da Sophos il virus più diffuso del 2000. Due virus pensati per attivarsi alla sola apertura dell’email in determinati contesti (Outlook + Windows). Altissima capacità di diffusione viene attribuita a Forgotten anche dai laboratori Symantec.
“VBS/Forgotten.A@mm” è tecnicamente un worm realizzato con Visual Basic Script. Arriva in una email formattata in HTML che chiede all’utente che la riceve di attivare i controlli ActiveX. Il worm può attivarsi su sistemi Windows dotati di Outlook. Una volta “dentro”, Forgotten si autoinvia via email a tutti i destinatari presenti nella Rubrica oppure si spedisce a tutti i partecipanti ad una chat room via Pirch o mIRC, uno dei software chat più diffusi. Il file contenente il virus sul computer-vittima che viene poi spedito “in giro” è “vb1.com.vbs”
Il virus si presenta in una email che ha per subject “Re:Financing”, un termine che può indurre a ritenere che il contenuto dell’email riguardi finanziamenti o altro e che può dunque spingere all’apertura dell’email stessa da parte dell’utente.
I danni prodotti dal virus sono per quanto possibile “limitati”. Oltre ad autoinviarsi sulla Rete, infatti, Forgotten sovrascrive tutti i file.vbs e.vbe che trova su tutti i drive del computer e riscrive anche i file spcript.ini e events.ini sulla macchina colpita, qualora su questa siano installati mIRC o Pirch.
Per rimuovere il virus occorre prima di tutto cancellare qualsiasi file denominato “VBS.Forgotten.A@mm”. Tutti i file sovrascritti vanno riscritti con copie di backup. Occorre anche cancellare il valore “vb1” dalla chiave di registro:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
E cancellare la chiave:
HKEY_CURRENT_USERSoftware(ANSWER)
A quel punto ci si dovrebbe essere liberati del virus…