Roma – Un nuovo worm pensato per diffondersi il più possibile via posta elettronica si sta diffondendo soprattutto tra gli utenti tedeschi, perché il testo del messaggio che trasporta l’allegato infetto è in tedesco e perché appare come fosse originato da un celebre portale antivirus tedesco.
Il worm è stato definito “W32.Yarner.A@mm” e Symantec in una pagina dedicata spiega che si tratta di un codicillo scritto in Delphi, capace di aggredire i sistemi Windows e di riprodursi auto-inviandosi a tutti gli indirizzi che individua nella rubrica di Outlook o nei file che risiedono sul computer colpito.
Riconoscerlo è facile, non solo perché il lungo testo del messaggio è in tedesco ma anche perché l’allegato infetto si chiama “yawsetup.exe” ed ha una dimensione di 427 Kilobyte. E gli utenti Windows hanno ormai imparato che è sempre imprudente aprire un file.exe che arrivi inatteso via email.
Una volta “dentro” il sistema, il worm sfrutta un proprio server SMTP per auto-inviarsi, corredando l’email con il subject “Trojaner-Info Newsletter” seguito dalla data del giorno di spedizione.
Quando viene aperto, il worm sovrascrive l’applicazione notepad.exe di Windows e infila una propria chiave nel registro di Windows. Quando l’utente avvia notepad, il worm si attiva e tenta di lanciare l’applicativo, per mascherare la propria azione. Questa consiste in un’azione basata su un contatore casuale: quando questo scatta, qualche tempo dopo l’attivazione del worm, vengono cancellati tutti i file che si trovano sul drive del computer che ospita la versione installata di Windows.
Informazioni sui virus sono reperibili nel Canale Virus di Punto Informatico.
Ti potrebbe interessare
20 feb 2002