• ASP
• HTM
• HTML
• HTT
• JSP
• PHP
• VBS

PROPAGAZIONE

Il virus si diffonde in forma crittata. Infetta l’utente nel momento in cui apre un file HTML infetto, utilizza alcune funzioni VBScript per inizializzarsi ed eseguire l’infezione. Cerca il file WSCRIPT.EXE nella cartella di sistema di Windows, se lo trova crea una directory KERNEL.DLL con una copia di se stesso.
Modifica il registro di configurazione per essere eseguito automaticamente all’avvio del sistema. Aggiunge la voce:

Kernel32 = ”%System%\Kernel.dll”

nella chiave di registro:

HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION – RUN

ISTRUZIONI PER RIMUOVERE IL VIRUS  

1. Fare un clic su START – ESEGUI e digitare “regedit”;
2. Aprire la chiave
HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION – RUN
3. Nella parte destra della finestra cercare e cancellare il valore
Kernel32=”%System%\Kernel.dll” *
4. Nella parte sinistra della finestra selezionare la chiave
HKEY_CLASSES_ROOT – DLLFILE – SHELL - OPEN
5. Fare un clic con il tasto destro del mouse su OPER e scegliere il comando CANCELLA;
6. Nella parte sinistra della finestra selezionare la chiave
HKEY_CLASSES_ROOT – DLLFILE - SCRIPTENGINE
7. Fare un clic con il tasto destro del mouse su OPER e scegliere il comando CANCELLA;
8. Nella parte sinistra della finestra selezionare la chiave
HKEY_CLASSES_ROOT – DLLFILE - SHELLEX
9. Fare un clic con il tasto destro del mouse su OPER e scegliere il comando CANCELLA;
10. Nella parte sinistra della finestra selezionare la chiave
HKEY_CLASSES_ROOT – DLLFILE - SCRIPTHOSTENCODE
11. Fare un clic con il tasto destro del mouse su OPER e scegliere il comando CANCELLA;
12. Si deve cercare il file Kernel32.dll all’interno del CD di installazione del sistema operativo e ripristinarlo nella directory C:\WINDOWS;
13. Eseguire la scansione del sistema con un antivirus aggiornato.