L'incredibile ritorno di Sulfnbk.exe

Per la prima volta una bufala contiene persino un link ad una pagina che spiega perché è un falso. Ma questo non ferma la sua diffusione. Ecco come funziona, quali sono i rischi, come riparare i danni e gli altri dettagli
Per la prima volta una bufala contiene persino un link ad una pagina che spiega perché è un falso. Ma questo non ferma la sua diffusione. Ecco come funziona, quali sono i rischi, come riparare i danni e gli altri dettagli


Roma – Non si ferma e continua a produrre preoccupazione e qualche danno: è la sempreverde bufala “Sulfnbk.exe”, un’email che avverte di un inesistente virus contenuto in un file di Windows. Una bufala singolare perché, partita a suo tempo in portoghese è stata poi tradotta “con successo” in inglese, spopolando negli USA, e successivamente in italiano, tedesco e altre lingue.

Punto Informatico ne parlò la prima volta nel maggio del 2001. Ma la cosa davvero sorprendente è che la nuova versione della bufala che sta girando vorticosamente in queste settimane contiene addirittura un link alla pagina di Symantec che la descrive nel dettaglio e avverte che si tratta, appunto, di un falso. Pagina che, evidentemente, chi invia la bufala a tutti i propri conoscenti non si cura di leggere.

Sui newsgroup continuano ad apparire messaggi di utenti che hanno cancellato il file “contenente il virus” credendolo davvero pericoloso come indicato nell’email fasulla, e in redazione ultimamente sono tornate ad arrivare numerose segnalazioni e richieste di aiuto. Il tutto perché la bufala invita l’utente a trovare un file di sistema e a cancellarlo senza pensarci due volte perché conterebbe un pericoloso virus. L’email afferma che dopo 14 giorni che il virus si è installato l’hard disk “inizia a cancellarsi”.

Si tratta di deliri, naturalmente, che hanno però facile presa proprio perché ben pochi sono gli utenti che sanno dell’esistenza del file sulfnbk.exe, così quando lo si cerca nel proprio sistema e lo si trova si è indotti a pensare che in effetti sia stato messo lì abusivamente…

La fortuna della bufala è dovuta anche all’esistenza di un noto worm, W32.Magistr, che solo in alcuni casi può auto-inviarsi a tutti i mittenti della rubrica di Windows come allegato infetto di un’email avente per nome proprio “Sulfnbk.exe”. Un file e una evenienza che nulla hanno a che vedere con la presenza nelle directory di sistema del file legittimo di Windows.

La cancellazione del file non rappresenta in sé un problema rilevante ma è bene sapere che quel file, come descritto da Microsoft, è una utilità per alcune versioni di Windows (95, 98 e Me) che può essere utilizzata per recuperare file con nomi più lunghi di otto caratteri che siano eventualmente stati infettati da un virus.

Per chi volesse re-installare nel proprio sistema quel file, la cui mancanza non compromette il funzionamento di Windows, nella prossima pagina sono descritte le operazioni da compiere. In terza pagina, invece, il testo più recente della bufala che sta girando in queste settimane.


La re-installazione del file Sulfnbk.exe che sia stato cancellato va considerata come un’opzione e non come un “must”, proprio per la ridotta rilevanza delle operazioni per le quali il file è pensato.

Nella maggioranza dei casi, il file originale si trova nella cartellina “command” di windows sebbene possa anche trovarsi altrove in caso di installazioni personalizzate.

Operazioni per Windows Me

Per re-installare il file si può utilizzare l’utilità di configurazione del sistema.
Dal menù Avvio si attivi “Esegui”.
Nella riga di comando si scriva “msconfig” e si dia Invio.
Si clicchi su Estrai File; appare la finestra di dialogo “Estrarre un file dal disco di installazione”.
Nella finestra “Specifica il file di sistema che vuoi recuperare” si inserisca la riga seguente e si clicchi poi su Ok: c:windowscommandsulfnbk.exe (questa stringa è utile solo se il file si trova nella cartellina “command”; se si trova altrove occorre sostituire il percorso con quello corretto).
Nella finestra di Estrai File si deve navigare in “Recupera da” per individuare la posizione dei file di installazione di Windows, che possono trovarsi sia sotto c:windowsoptionsinstall che, naturalmente, nel Cd-ROM di Windows.

Operazioni per Windows 98

Con Windows98 si può recuperare il file utilizzando l’utilità “Controllo file di sistema”, che si può attivare dal menù Avvio, cliccando su Esegui e inserendo nella riga di comando le tre lettere “sfc”.
Da lì si clicchi su “Estrarre un file dal disco di installazione”.
In quella finestra si inserisca il percorso del file, e dunque “c:windowscommandsulfnbk.exe” nelle installazioni standard (in caso di installazione personalizzata sostituire il percorso).
A quel punto, nella finestra dell’operazione di estrazione si deve navigare a caccia dei file di installazione di Windows che, sul disco rigido, possono trovarsi in “c:windowsoptionscabs” oltreché nel Cd-ROM di Windows.

Operazioni per Windows 95

Per chi utilizza Windows95 oppure anche Windows98 e WindowsME c’è un altro percorso da fare.
Si clicchi su “Avvio” e si vada nell’utilità “Trova” di ricerca dei file.
Ci si assicuri che “c:” sia il disco nel quale effettuare la ricerca e che sia selezionata l’opzione di ricerca nelle sottocartelle.
Nella stringa del nome del file si cerchi “precopy1”.
Si clicchi su “Cerca”. Se il file non si trova su disco rigido occorre ripetere la ricerca sul Cd-ROM di Windows.
Una volta trovato il file occorre segnarsi il percorso, che potrebbe essere c:windowsoptionscabs.
Per estrarre il file a quel punto si vada su Esegui in Avvio e si utilizzi la seguente riga di comando:
“extract /a percorsofileprecopy1.cab sulfnbk.exe /L c:windowscommand”
Cliccando su ok si inizia il recupero del file.


Ecco cosa contiene l’email fasulla che è tornata a girare per tutta la rete in queste settimane. Da segnalare la traduzione in inglese del testo e la presenza nell’email fasulla di un link alla pagina del sito Symantec che parla proprio del messaggio falso denunciandolo come bufala (“hoax”).

Il subject dell’email è: “ATTENZIONE VIRUS”.

Il contenuto è il seguente:

“SONO STATO INFORMATO DI AVERE RICEVUTO UN VIRUS (SULFNBK.EXE).
IL VIRUS SI REPLICA E SI SPEDISCE AUTOMATICAMENTE A TUTTI GLI INDIRIZZI CHE
TROVA NELLA RUBRICA DEL NUOVO PC IN CUI ARRIVA.
IL VIRUS RESTA “LATENTE” PER 14 GIORNI, DOPO I QUALI L’HARD DISK
INIZIA A CANCELLARSI.

ELIMINATE IL VIRUS SEGUENDO QUESTE ISTRUZIONI:
1) Andate a AVVIO-START / TROVA -FILE o CARTELLA
2) Scrivete SULFNBK.EXE ( questo è il nome del virus)
3) Assicuratevi di realizzare la ricerca nel disco-C- o altri eventuali dischi
4) Evidenziate Ricerca nella sottocartella
5) Se appare il file (una icona nera ) NON APRITELO
6) dovete soltanto evidenziarlo. Cliccate con il bottone destro del mouse. Scendete sino alla voce ELIMINARE.
7) Ti verrà chiesto se volete inviarlo al Cestino. Rispondete SI
8) Andate in Gestione Risorse-desktop e svuotate il cestino.

Se trovate il virus inviate, per favore, questo messaggio a TUTTI
quelli del vostro indirizzario

http://securityresponse.symantec.com/avcenter/venc/data/sulfnbk.exe.warning.
html

I HAVE BEEN INFORMED OF TO HAVE RECEIVED A VIRUS (SULFNBK.EXE). THE
VIRUS RETORT AND AUTOMATICALLY SENDS TO ALL THE ADDRESSES THAT IT FINDS IN
THE INDEX BOOK OF THE NEW PC IN WHICH IT ARRIVES. THE VIRUS REMAINS ”
LATENT”
FOR 14 DAYS, AFTER WHICH HARD DISK BEGINS TO DELETE. THESE INSTRUCTIONS TO
ELIMINATE THE VIRUS FOLLOWING: 1) Go to START / FINDS – ROWS or FOLDER
2) Write SULFNBK.EXE (this is the name of virus) 3) the assure to realize
the search in the disc-C or other eventual discs 4) Evidenziate Search in
the sub-folder 5) If it appears rows (black icon) NOT OPEN IT 6) you only
must evidence it. Click with the skillful button of the mouse. You come
down until to the voice ELIMINATING. 7) it will come to You asked if you
want send it to the Trash. You answer 8) Go in desktop Management and
emptied the trash basket. If found the virus sended, please, this message to ALL
those of your index book.
http://securityresponse.symantec.com/avcenter/venc/data/sulfnbk.exe.warning.
html”.

Link copiato negli appunti

Ti potrebbe interessare

04 02 2002
Link copiato negli appunti