Cosa fa e come rimuoverlo.

Un nuovo virus si sta rapidamente diffondendo in questi giorni.

Il virus si chiama W32/Goner@MM e si propaga via email, ICQ e IRC.

Il contenuto dell’email ha come oggetto: Hi
e come testo: “How are you ? When I saw this screen saver, I immediately thought
about you I am in a harry, I promise you will love it!”

e contiene un allegato, il file GONE.SCR di 38 kB

L’esecuzione di tale file infetta il sistema e fa comparire le seguenti schermate
a breve distanza fra loro:


Cosa fa questo virus?

Una volta eseguito il worm si autocopia nella directory “%WinDir%SYSTEM” e
aggiunge la chiave al registro per avviarsi al boot:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunC:\%WINDIR%SYSTEMgone.scr=C:\%WINDIR%SYSTEMgone.scr

Inoltre tenta di cancellare i seguenti file, che sono gli eseguibili di alcuni
tra i più diffusi programmi di antivirus e firewall:

APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallICON.EXE
FRW.EXE
VSHWIN32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE

Istruzioni per la rimozione manuale WINDOWS 95/98/ME

Attenzione le operazioni seguenti possono provocare danni e/o blocchi al
sistema. Pertanto andranno eseguite con estrema cautela. L’autore e Giurdanella.it
non si assumono responsabilità alcuna per eventuali danni imputabili all’esecuzione
della sottostante procedura.

Riavviare Windows in Modalità Provvisoria (Alla schermata di avvio di Windows
premere il tasto F5 per Win95 oppure tenere premuto il tasto CTRL per Windows
98 o ME)

Premere su START | Trova | File o Cartelle… e digitare Gone.scr e
premere INVIO

Cancellare il file GONE.SCR (se presente)

Premere START | Esegui e scrivere REGEDIT e premere INVIO

premere il (+) vicino a HKEY_LOCAL_MACHINE

premere il (+) vicino a SOFTWARE

premere il (+) vicino a MICROSOFT

premere il (+) vicino a WINDOWS

premere il (+) vicino a CURRENTVERSION

premere il (+) vicino a RUN

selezionare C:WINDOWSSYSTEMgone.scr presente sulla destra e premere il
tasto CANC della tastiera

Riavviare il computer.

Informazioni aggiuntive per utenti Windows ME: Windows ME utilizza un
programma di backup che copia alcuni file automaticamente nella cartella C:\_Restore.
Per rimuovere i file infetti da questa cartella occorre seguire le seguenti
istruzioni:

Disabilitare il programma di RESTORE:

Tasto destro sull’icona Risorse del Computer sul Desktop.

Cliccare su Prestazioni.

Cliccare sul bottone File System.

Cliccare sul pulsante Risoluzione dei Problemi.

Spuntare “Disattiva Ripristino della Configurazione del Sistema”.

Cliccare su Applica.

Cliccare su Chiudi.

Cliccare ancora sul bottone Chiudi.

Riavviare il computer alla richiesta (da questa moento verrà disabilitata
il programma di backup – Ultimata l’operazione riavviare il computer normalmente
e ripristinare il backup utilizzando la stessa procedura sin qui eseguita. ).

Riavviare il computer in modalità provvisoria.

Eseguire il programma di antivirus per rimuovere i file infetti, o rimuovere
manualmente gli eventuali file infetti dalla cartella C:\_Restore.

Attenzione, se aprite di nuovo il programma di posta prima
di aver installato un programma antivirus disabilitate l’anteprima dei messaggi
(in outlook dal menu Strumenti -> layout -> disabilitare la casella visualizza
anteprima) e rimuovere i messaggi infetti senza aprirli.

Redazione

Lo studio legale Giurdanella & Partners dedica, tutti i giorni, una piccola parte del proprio tempo all'aggiornamento del sito web della rivista. E' un'attività iniziata quasi per gioco agli albori di internet e che non cessa mai di entusiasmarci. E' anche l'occasione per restituire alla rete una parte di tutto quello che essa ci ha dato in questi anni. I giovani bravi sono sempre i benvenuti nel nostro studio legale. Per uno stage o per iniziare la pratica professionale presso lo studio, scriveteci o mandate il vostro cv a segreteria@giurdanella.it