DESCRIZIONE
Si tratta di un virus diffuso via e-mail, che modifica le impostazioni
del programma Microsoft Internet Explorer. Viene sostituita la pagina
iniziale in modo che, ogni volta che si apre il programma, sia visualizzata
la pagina di update del sito della Microsoft. Altri nomi con cui si può
incontrare l’infezione sono: I-Worm.Deltad e Win32/Delta.D@mm.
Crea i seguenti file:
- C:\WWW.DGSAP.DELTADG.COM.EXE
- C:\Windows\SERVER.EXE
- C:\Windows\SERVER.TXT.VBS
- C:\Windows\System32\SERVER.EXE
- C:\Windows\System32\SYSTEM.TXT.VBS
Introduce uno script creato nel linguaggio Visual Basic Script (VBS_DELTAD.A)
che rappresenta il codice del programma infetto.
PROPAGAZIONE
Il virus si diffonde attraverso messaggi di posta elettronica con oggetto
SAP UPDATE. Il testo del messaggio è il seguente:
All:
Please update your system.
DGSAP
Il messaggio comprende un file allegato: WWW.DGSAP.DELTADG.COM.EXE.
ISTRUZIONI PER RIMUOVERE IL VIRUS
1. Riavviare il computer in modalità provvisoria;
2. Eseguire la scansione del sistema con un antivirus aggiornato e prendere
nota dei file eseguibili infetti dal WORM_DELTAD.A;
3. Aprire il Task Manager di Windows (CTRL + ALT + CANC);
4. Cercare e terminare i processi corrispondenti al virus (trovati con
la scansione precedente);
5. Chiudere il Task Manager;
6. Fare un clic con il tasto destro nello sfondo dello schermo, dove
non sono presenti icone e scegliere NUOVO – DOCUMENTO DI TESTO;
7. Aprire il documento e digitare quanto segue:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
8. Salvare il file con il nome PULISCI.REG e chiudere il file;
9. Fare un doppio clic sopra il file appena creato e attendere l’esecuzione
dei comandi;
10. Aprire il registro di configurazione e aprire la chiave:
HKEY_CURRENT_USER – SOFTWARE – MICROSOFT – WINDOWS – CURRENT VERSION
– RUN
11. Nella parte destra della finestra cercare e rimuovere la voce:
serverex
12. Nella parte sinistra della finestra aprire la chiave:
HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENT VERSION
– RUN
13. Nella parte destra della finestra cercare e rimuovere le voci:
server = "%Windows%\server.exe"
winserver="%Windows%\Server.txt.vbs"
serverex="%System%\System.txt.vbs"
14. Aprire il Pannello di Controllo di Windows;
15. Aprire il programma Opzioni Internet e visualizzare la scheda Programmi;
16. Fare un clic sul pulsante RIPRISTINA IMPOSTAZIONI WEB e attivare
l’opzione Ripristina anche la pagina iniziale;
17. Confermare e riavviare il PC.