DESCRIZIONE
Si tratta di un virus residente in memoria. Un altro nome con cui
si può trovare l’infezione è BADTRANS.D.
PROPAGAZIONE
Si diffonde attraverso la posta elettronica utilizzando i socket di Windows.
Lavora su programmi come Microsoft Outlook o Outlook Express. Spedisce
copie di se stesso attraverso mail ricevute dall’utente, utilizzando lo
stesso oggetto e corpo del messaggio. Come mittente utilizza il nome della
persona infetta.
Durante l’esecuzione il virus visualizza il messaggio seguente:
“Install error”
“File data corrupt: probably due to bad data transmission or bad
disk access.”
Crea il file INETD.EXE nella cartella C:\WINDOWS, poi crea i file KERN32.EXE,
CP_23421.NLS e HKSDLL.DLL.
I nomi dei file allegati, per la diffusione, sono presi casualmente
tra i seguenti:
- CARD.PIF
- DOCS.SCR
- FUN.PIF
- HAMSTER.ZIP.SCR
- HUMOR.TXT.PIF
- IMAGES.PIF
- ME_NUDE.AVI.PIF
- NEW_NAPSTER_SITE.DOC.SCR
- NEWS_DOC.SCR
- PICS.ZIP.SCR
- README.TXT.PIF
- S3MSONG.MP3.PIF
- SEARCHURL.SCR
- SETUP.PIF
- SORRY_ABOUT_YESTERDAY.DOC.PIF
- YOU_ARE_FAT!.TXT.PIF
ISTRUZIONI PER RIMUOVERE IL VIRUS
1. Aprire il comando START – ESEGUI e digitare REGEDIT. Quindi premere
INVIO;
2. Aprire la chiave HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS
– CURRENTVERSION – RUNONCE
3. Nella parte destra della finestra cercare e cancellare la voce “KERNEL32”;
4. Chiudere l’editor del registro;
5. Aprire il file WIN.INI (si trova nella cartella C:\WINDOWS) con il
Blocco Note di Windows;
6. Cercare la sezione [Windows] e sostituire, se presente, la stringa
run= %Windows\Inetd.exe
con la stringa
run=
7. Chiudere e salvare il file;
8. Fare la scansione del sistema con un antivirus aggiornato.