Virus Doomjuice

SERVER DI POSTA
HOME	COMPUTER & DINTORNI	I VIRUS	Stampa la pagina

E' di questi giorni un nuovo allarme virus: Doomjuice. Si tratta di un worm e il rischio, per ora, sembrerebbe basso. Derivato direttamente dalle due varianti di Mydoom, il virus Doomjuice, anch'esso in due varianti A e B, si propaga attraverso i computer già infettati da Mydoom.A e, quindi, non attraverso la posta elettronica. L'unica azione che compie, oltre all'autoreplica, è quella di tentare un attacco Denial Of Service contro il sito della Microsoft. Come sempre, vale la raccomandazione che non bisogna cliccare su nessun allegato "particolare", ricevuto con una e.mail le cui origini sono sconosciute e tenere sempre aggiornato l'antivirus installato sul computer. Come detto, il virus non si propaga tramite posta elettronica ma può essere ricevuto, da un mittente sconosciuto, tramite la posta medesima. Il suo obiettivo però, se attivato, non è il computer che l'ha ricevuto. Infatti, il virus Doomjuice.A invia richieste di accesso alla porta 3127 che sui computer infettati da Mydoom è aperta e in attesa di comandi. Una volta scovato un computer con la porta 3127 aperta, Doomjuice.A si auto installa e comincia a replicarsi. Dopo l'attivazione, crea nella directory di sistema di Windows il file intrenat.exe che, attraverso la chiave del registro "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", verrà attivato ad ogni avvio di Windows. Successivamente, nelle directory di sistema nonché nella directory di installazione di Windows e in altri punti dell'hard disk, crea il file sync-src-1.00.tbz che contiene il codice del virus. Il worm, come atto finale, lancia un attacco Denial Of Service contro Microsoft.com, prima lentamente e poi in modo più massiccio. La variante Doomjuice.B, invece, crea il file infetto regedit.exe nella directory di sistema di Windows. Questo file viene attivato ad ogni avvio del sistema. Il worm Doomjuice.A può essere rilevato attraverso una ricerca (percorso: Start > Trova > File o cartelle) e verificando la presenza nel proprio computer del file "intrenat.exe" oppure del file "sync-src-1.00.tbz". La variante B viene sempre rilevata utilizzando il sistema di ricerca sopra indicato e verificando la presenza, nella directory di sistema di Windows, del file "regedit.exe". E' necessaria la massima attenzione nella ricerca di quest'ultimo file. Infatti, un file "regedit.exe" è regolarmente presente nei sistemi Windows e si trova nella directory "C:\Windows" oppure "C:\Winnt". Invece, se ne trovate uno nella directory di sistema "C:\Windows\system" oppure "C:\Winnt\System32" o anche "C:\Windows\System32", si tratta del virus in questione! Le maggiori case produttrici di antivirus hanno già predisposto, disponibile gratuitamente, il tool per la rimozione del virus. (febbraio 2004)