Transmenu powered by JoomlArt.com - Mambo Joomla Professional Templates Club

Un nuovo allarme arriva dai laboratori di sicurezza della Trend Micro, si tratta di un worm, che però ha una particolarità, è associato ad uno spyware;  Wurmark.J è il primo di questo genere e, nonostante non sia ancora molto diffuso, ha un potenziale di danneggiamento molto alto, così come è alta la potenzialità di espansione, quindi la valutazione complessiva è quella di rischio medio. 

Il worm si diffonde via e-mail ed è contenuto in un allegato. Una volta aperto l'attachment, il virus si installa nella memoria residente del computer, copiandosi successivamente in un file dal nome casuale contenuto nella cartella di sistema di Windows, sempre con un nome casuale Wurmark crea nella stessa cartella anche una libreria (un file .DLL), che verrà poi utilizzata dal programma spyware IESpy.

Tramite questo programmino il worm è in grado di registrare i dati digitati dall'utente del computer infetto e salvare tutte le informazioni nella libreria che verrà poi reinviata agli autori dell'infezione, che potranno così collezionare login, password, numeri di carta di credito e altro. Anche le connessioni sicure sono esposte a rischio visto che l'infezione risiede nel proprio computer e registra i dati direttamente dall'input della tastiera.

Proprio in questo consiste la particolarità del virus che, per la prima volta nella storia, associa un worm a uno spyware di natura commerciale. Wurmark deposita anche una serie di file compressi in formato .ZIP, mascherati da allegati di posta elettronica.

Il virus è anche conosciuto come W32.Lorac, W32/Eyeveg.worm, Win32.Eyeveg.F e  Win32/Atak.Variant!Worm, ma sia Trend Micro che Sophos utilizzano la stessa nomenclatura, anche per l'estensione. I sistemi operativi a rischio sono i Windows 98, ME, 2000 e XP, la lingua di diffusione è l'inglese.

Per proteggersi da questa infezione prima di tutto occorre, come sempre, fare estrema attenzione alla posta che si riceve e non aprire gli allegati delle mail di cui non si è certi.

Secondo quanto riportano le case antivirus, la mail in questione ha come subject una delle seguenti parole:

details, girls, image, love, message, music, news, photo, pic, readme, resume, screensaver, song o video.

Il nome del file allegato viene invece pescato dai seguenti:

details.zip, girls.zip, image.zip, love.zip, message.zip, music.zip, news.zip, photo.zip, pic.zip, readme.zip, resume.zip, screensaver.zip, song.zip o video.zip.

Il corpo del messaggio è lasciato completamente bianco.

Il virus evita di mandarsi agli indirizzi che contengono parole come abuse, admin, hostmaster, localdomain, localhost, mcafee, messagelab, microsoft, noreply, postmaster, recipients, reports, root, spam, symantec e webmaster. 

Per la rimozione potete procedere manualmente, sempre con la raccomandazione di non mettere le mani nel "Regedit" se non avete alcuna esperienza.

Le istruzioni sono le seguenti:

• Dal menu di partenza scegliere Run (Esegui) e digitare "Regedit" (senza virgolette) nell'apposito form, poi dare l'invio.
• Prima di procedere si consiglia una copia di backup del registro, così potrete tornare indietro in caso di errore, per fare la copia bisogna entrare nel Menù di registro e fare click su Export Registry File" (esporta file di registro) e cliccare su All (tutti) nel pannello di esportazione, dopo l'ok avrete fatto una copia di backup.
• A questo punto procediamo con la rimozione: Trovate HKEY_LOCAL_MACINE e in questa (sulla destra) la chiave HKLMSoftwareMicrosoftWindows|Current VersionRun e cancellatela (se lo trovate).
• Chiudete il Regedit.

Per una completa rimozione si consiglia comunque l'utilizzo di un antivirus aggiornato. 

Articoli correlati:

I virus di aprile 2005
Sober promette due biglietti per i mondiali di calcio del 2006
Attenzione a Nopir, il worm che cancella gli Mp3
E' l'ora del pharming
Ancora una falla grave per Microsoft
Circola una falsa e-mail di Microsoft che nasconde un trojan
Quattro varianti per il worm Mytob