Yarner, virus tedesco in libera uscita

Roma – Un nuovo worm pensato per diffondersi il più possibile via posta elettronica si sta diffondendo soprattutto tra gli utenti tedeschi, perché il testo del messaggio che trasporta l'allegato infetto è in tedesco e perché appare come fosse originato da un celebre portale antivirus tedesco.

Il worm è stato definito “W32.Yarner.A@mm” e Symantec in una pagina dedicata spiega che si tratta di un codicillo scritto in Delphi, capace di aggredire i sistemi Windows e di riprodursi auto-inviandosi a tutti gli indirizzi che individua nella rubrica di Outlook o nei file che risiedono sul computer colpito.

Riconoscerlo è facile, non solo perché il lungo testo del messaggio è in tedesco ma anche perché l'allegato infetto si chiama “yawsetup.exe” ed ha una dimensione di 427 Kilobyte. E gli utenti Windows hanno ormai imparato che è sempre imprudente aprire un file.exe che arrivi inatteso via email.

Una volta “dentro” il sistema, il worm sfrutta un proprio server SMTP per auto-inviarsi, corredando l'email con il subject “Trojaner-Info Newsletter” seguito dalla data del giorno di spedizione.

Quando viene aperto, il worm sovrascrive l'applicazione notepad.exe di Windows e infila una propria chiave nel registro di Windows. Quando l'utente avvia notepad, il worm si attiva e tenta di lanciare l'applicativo, per mascherare la propria azione. Questa consiste in un'azione basata su un contatore casuale: quando questo scatta, qualche tempo dopo l'attivazione del worm, vengono cancellati tutti i file che si trovano sul drive del computer che ospita la versione installata di Windows.

Informazioni sui virus sono reperibili nel Canale Virus di Punto Informatico.