Si tratta di una variante del WORM_MYPARTY.A, che arriva via posta
elettronica. La e-mail contiene un file allegato, "myparty.photos.yahoo.com",
e ha il seguente oggetto: "new photos from my party!".
Nei PC con sistema operativo Windows 9x (95, 98 e Me) crea il file REGCTRL.EXE
all’interno della cartella C:\RECYCLED. Nei PC con sistema operativo Windows
NT e 2000, invece, crea i file C:\REGCTRL.EXE e MSSTASK.EXE
nella cartella C:\WINNT\PROFILE\NOME UTENTE\START MENU\PROGRAMS\STARTUP,
dove NOME UTENTE corrisponde al nome dell’utente che utilizza il computer.
In più, crea uno dei seguenti file visibili solamente utilizzando
una finestra MS-DOS: C:\RECYCLER\F-<num>-<num>-<num>
C:\RECYCLED\F-<num>-<num>-<num>
Dove num corrisponde ad un numero casuale.
PROPAGAZIONE
Questo virus crea messaggi di posta elettronica infetti,
con lo stesso oggetto del precedente WORM_MYPARTY.A, "new photos from
my party!", ma con un allegato diverso.
Il testo del messaggio è il seguente:
Hello!
My party... It was absolutely amazing!I have attached my web page
with new photos!If you can please make color prints of my photos.
Thanks!
ISTRUZIONI
PER RIMUOVERE IL VIRUS
WINDOWS 9X
Per rimuovere il virus è necessario utilizzare un antivirus aggiornato,
riavviare il PC ed eseguire la scansione dell’intero disco. Tutti i
file infetti, trovati dal software utilizzato, devono essere cancellati.
Inoltre è necessario eliminare tutte le e-mail contenenti l’allegato
infetto.
Si deve aprire una finestra MS-DOS e digitare i comandi seguenti: CD \RECYCLED
ATTRIB – H –R REGCTRL.EXE
DEL REGCTRL.EXE
Questi comandi sono necessari per eliminare il file nascosto creato
dall’infezione e che, in genere, gli antivirus non sono in grado di
cancellare.
Per Windows Me sono necessarie alcuni accorgimenti aggiuntivi, spiegati
di seguito.
Si deve disattivare l’utilità di Millenium chiamata System Restore,
prima di riavviare il PC, altrimenti non si può avere la completa
rimozione del virus. Questa utilità crea un backup automatico
di alcuni file del sistema, compresi alcuni file eseguibili con estensione
.EXE e .COM. La copia dei file viene creata all’interno della directory
RESTORE, protetta dal sistema. Quando il sistema crea il backup, include
anche i file infetti, che non possono, quindi, essere rimossi. Utilizzare
le seguenti istruzioni, per disabilitare l’utility System Restore:
Fare un clic con il tasto destro del mouse sopra
l’icona “Risorse del Computer”, che si trova nel desktop;
Nel menu di scelta rapida che appare scegliere
il comando PROPRIETÀ;
Selezionare la scheda “Prestazioni” e fare un
clic sul pulsante “File System”;
Fare un clic sulla scheda “Risoluzione problemi”
e fare un clic sulla casella di controllo “Disable System Restore”,
in modo da far apparire un segno di spunta;
Fare un clic sul pulsante “Applica”, poi sul
pulsante “Chiudi” e nuovamente sul pulsante “Chiudi”;
Riavviare il computer in modalità provvisoria
e seguire le istruzioni per Windows 9x.
WINDOWS NT / 2000 / XP
Seguire le seguenti istruzioni:
Premere contemporaneamente i tasti CTRL + ALT
+ CANC per far apparire il Task Manager;
Selezionare la scheda “Processi” e cercare l’applicazione
MSSTASK.EXE;
Selezionare MSSTASK.EXE e fare un clic sul pulsante
“Termina Operazione”;
Fare la scansione dei dischi con un antivirus
aggiornato ed eliminare tutti i file infetti.