Roma – Il prossimo primo gennaio potrebbe rivelarsi un giorno infausto per molti, per tutti coloro i cui computer siano stati infettati da W95.Ussrhymn@m prima di quella data. Il primo gennaio, infatti, il nuovo worm che ha iniziato a farsi sentire sulla Rete si attiverà: con l’accompagnamento di un vecchio inno sovietico (per ascoltarlo clicca qui ), comincerà l’opera di distruzione del sistema infettato.
W95.Ussrhymn@m, scoperto per la prima volta lo scorso 9 novembre, entra ora tra i worm da tenere d’occhio, mentre un suo “collega”, Navidad , inizia a circolare anche in Italia senza peraltro creare molto movimento a causa delle limitate capacità di far danni. Ma W95.Ussrhymn@m è molto diverso da Navidad, perché se è vero che si replica meno facilmente, è anche vero che appare molto più distruttivo.
W95.Ussrhymn@m, spiegano i labs di Symantec, è un virus che colpisce i sistemi Windows. Basato su W95.Bistro, non conserva di questo, per fortuna, le facoltà di mascheramento. Però colpisce i file PE (Portable Executable) e infila file infetti eseguibili in archivi compressi con winzip o winrar.
La capacità di diffusione del nuovo worm W95.Ussrhymn@m pare limitata, anche perché non si propaga via email ma attraverso la condivisione in una rete di file infetti. Va detto però che è capace di disabilitare alcuni programmi antivirus rendendosi così più difficilmente individuabile.
W95.Ussrhymn@m si attiva quando su un computer viene aperta un’applicazione infetta. In quel momento il worm inizia a “stabilirsi” nella macchina. Inserisce il proprio codice nella prima sezione dell’applicazione infetta, mettendosi esattamente al di sopra delle prime righe di codice. A quel punto il virus parte con un loop che, secondo Symantec, è probabilmente pensato per costringere gli emulatori 32bit a cedere prima di individuare il virus.
A quel punto inizia a infettare tutti i file.exe e.scr che riesce a trovare sulla rete a cui è connesso il computer o su hard disk e drive periferici (da A a Z). Gli esperti hanno anche rilevato che il worm può infettare Wsock32.dll facendone una copia, infettandolo e poi creando un file Wininit.ini che si autorinomina in Wsock32.dll quando il computer viene fatto ripartire.
La rimozione del virus può avvenire sfruttando antivirus aggiornati e in generale sostituendo tutti i file infetti…
Ti potrebbe interessare
17 nov 2000