Un nuovo virus si sta rapidamente diffondendo in questi giorni.
Il virus si chiama W32/Goner@MM e si propaga via email, ICQ e IRC.
Il contenuto dell’email ha come oggetto: Hi
e come testo: “How are you ? When I saw this screen saver, I immediately thought
about you I am in a harry, I promise you will love it!”
e contiene un allegato, il file GONE.SCR di 38 kB
L’esecuzione di tale file infetta il sistema e fa comparire le seguenti schermate
a breve distanza fra loro:
Cosa fa questo virus?
Una volta eseguito il worm si autocopia nella directory “%WinDir%SYSTEM” e
aggiunge la chiave al registro per avviarsi al boot:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunC:\%WINDIR%SYSTEMgone.scr=C:\%WINDIR%SYSTEMgone.scr
Inoltre tenta di cancellare i seguenti file, che sono gli eseguibili di alcuni
tra i più diffusi programmi di antivirus e firewall:
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallICON.EXE
FRW.EXE
VSHWIN32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
Istruzioni per la rimozione manuale WINDOWS 95/98/ME
Attenzione le operazioni seguenti possono provocare danni e/o blocchi al
sistema. Pertanto andranno eseguite con estrema cautela. L’autore e Giurdanella.it
non si assumono responsabilità alcuna per eventuali danni imputabili all’esecuzione
della sottostante procedura.
Riavviare Windows in Modalità Provvisoria (Alla schermata di avvio di Windows
premere il tasto F5 per Win95 oppure tenere premuto il tasto CTRL per Windows
98 o ME)
Premere su START | Trova | File o Cartelle… e digitare Gone.scr e
premere INVIO
Cancellare il file GONE.SCR (se presente)
Premere START | Esegui e scrivere REGEDIT e premere INVIO
premere il (+) vicino a HKEY_LOCAL_MACHINE
premere il (+) vicino a SOFTWARE
premere il (+) vicino a MICROSOFT
premere il (+) vicino a WINDOWS
premere il (+) vicino a CURRENTVERSION
premere il (+) vicino a RUN
selezionare C:WINDOWSSYSTEMgone.scr presente sulla destra e premere il
tasto CANC della tastiera
Riavviare il computer.
Informazioni aggiuntive per utenti Windows ME: Windows ME utilizza un
programma di backup che copia alcuni file automaticamente nella cartella C:\_Restore.
Per rimuovere i file infetti da questa cartella occorre seguire le seguenti
istruzioni:
Disabilitare il programma di RESTORE:
Tasto destro sull’icona Risorse del Computer sul Desktop.
Cliccare su Prestazioni.
Cliccare sul bottone File System.
Cliccare sul pulsante Risoluzione dei Problemi.
Spuntare “Disattiva Ripristino della Configurazione del Sistema”.
Cliccare su Applica.
Cliccare su Chiudi.
Cliccare ancora sul bottone Chiudi.
Riavviare il computer alla richiesta (da questa moento verrà disabilitata
il programma di backup – Ultimata l’operazione riavviare il computer normalmente
e ripristinare il backup utilizzando la stessa procedura sin qui eseguita. ).
Riavviare il computer in modalità provvisoria.
Eseguire il programma di antivirus per rimuovere i file infetti, o rimuovere
manualmente gli eventuali file infetti dalla cartella C:\_Restore.
Attenzione, se aprite di nuovo il programma di posta prima
di aver installato un programma antivirus disabilitate l’anteprima dei messaggi
(in outlook dal menu Strumenti -> layout -> disabilitare la casella visualizza
anteprima) e rimuovere i messaggi infetti senza aprirli.