|
E' di questi giorni un nuovo allarme virus: Doomjuice. Si tratta di un worm e il rischio, per ora, sembrerebbe basso. Derivato direttamente dalle due varianti di
Mydoom, il virus Doomjuice, anch'esso in due varianti A e B, si propaga attraverso i computer già infettati da Mydoom.A e, quindi, non attraverso la posta elettronica. L'unica azione che compie, oltre
all'autoreplica, è quella di tentare un attacco Denial Of Service
contro il sito della Microsoft. Come sempre, vale la raccomandazione che non bisogna cliccare su nessun allegato "particolare", ricevuto con una e.mail le cui origini sono sconosciute e tenere sempre aggiornato l'antivirus installato sul computer.
Come detto, il virus non si propaga tramite posta elettronica ma può essere
ricevuto, da un mittente sconosciuto, tramite la posta medesima. Il suo
obiettivo però, se attivato, non è il computer che l'ha ricevuto. Infatti, il
virus Doomjuice.A invia richieste di accesso alla porta 3127 che sui computer infettati da Mydoom è aperta e in attesa di comandi. Una volta scovato un computer con la porta 3127 aperta, Doomjuice.A si
auto installa e comincia a replicarsi. Dopo l'attivazione, crea nella directory di sistema di Windows il file
intrenat.exe che,
attraverso la chiave del registro "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", verrà attivato ad ogni avvio di Windows. Successivamente, nelle directory di sistema nonché nella directory di installazione di Windows e in altri punti dell'hard disk, crea il file
sync-src-1.00.tbz che contiene il codice del virus. Il worm, come atto finale, lancia un attacco Denial Of Service contro Microsoft.com, prima lentamente e poi in modo più massiccio. La variante Doomjuice.B, invece, crea il file infetto
regedit.exe nella directory di sistema di Windows. Questo file viene attivato ad ogni avvio del sistema. Il worm
Doomjuice.A
può essere rilevato attraverso una ricerca (percorso: Start > Trova > File o cartelle) e verificando la presenza nel proprio computer del file "intrenat.exe" oppure del file "sync-src-1.00.tbz". La variante B viene
sempre rilevata utilizzando il sistema di ricerca sopra indicato e verificando la presenza, nella directory di sistema di Windows, del file "regedit.exe".
E' necessaria la massima attenzione nella ricerca di quest'ultimo file. Infatti, un file
"regedit.exe" è regolarmente presente nei sistemi Windows e si trova nella directory "C:\Windows" oppure "C:\Winnt". Invece, se ne trovate uno nella directory di sistema "C:\Windows\system" oppure "C:\Winnt\System32" o anche "C:\Windows\System32", si tratta del virus in questione! Le maggiori case produttrici di antivirus hanno già predisposto, disponibile gratuitamente, il tool per la rimozione del virus.
(febbraio 2004)
|
|