DESCRIZIONE
Si tratta di un virus scritto nel linguaggio di programmazione
ad alto livello Visual Basic.
Durante l’esecuzione il virus visualizza una finestra di dialogo che riporta
il testo seguente:
W32.Join.A@mm - Coded by mANiAC89 [SpiderMan]/IndoVirus
Crea il file COOL_FILE.EXE nella cartella C:\ e modifica il registro
di configurazione, aggiungendo la voce “Join.A” nella chiave HKEY_LOCAL_MACHINE
– SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION - RUN
Viene creato il file SCRIPT.INI nella directory di mIRC, per inizializzare
il programma a spedire copie di se stesso agli utenti collegati.
Nella directory C:\Program Files\KaZaA\My Shared Folder di Kazaa, il
virus crea più copie di se stesso, con i nomi seguenti:
- HotMail Hack.exe
- ICQ Hack.exe
- ICQ Password Hack.exe
- MSN Crack.exe
- MSN Hack.exe
- SpiderMan-PC-Game-v2 FullDownloader.exe
- Windows (All Versions) KeyGen.exe
PROPAGAZIONE
Si diffonde utilizzando due sistemi:
- Spedisce copie di se stesso attraverso la posta elettronica;
- Attraverso Kazaa (applicazione di condivisione file peer-to-peer,
che lavora su Internet) e via Relay Chat, mIRC.
ISTRUZIONI PER RIMUOVERE IL VIRUS
- Riavviare il computer in modalità provvisoria;
- Aprire l’editor del registro di configurazione e aprire la chiave:
HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION
– RUN
- Nella parte destra della finestra cancellare la voce:
“Join A”;
- Eseguire la scansione di tutti i dischi con un antivirus aggiornato;
- Riavviare il computer.