Si tratta di un worm virus che lavora solo sopra la struttura .NET
framework della Microsoft. Altri nomi con cui si può trovare l’infezione
sono: W32/PeaTwoPea.worm, Worm.P2P.Bonet e Win32.Kazdot worm.
Una volta eseguito, il programma condivide la sua cartella di installazione
attraverso Kazaa e modifica il registro di configurazione. Crea più
copie di se stesso con i nomi seguenti:
c#tutorials.exe
dosdotnet.exe
dotnethack.exe
linuxdotnet.exe
microsoftdotnetpatch.exe
sha1.exe
tripleDES.exe
xboxdotnetemulator.exe
PROPAGAZIONE
Si propaga attraverso Internet utilizzando il programma per la condivisione
di file di Kazaa.
ISTRUZIONI PER RIMUOVERE IL VIRUS
Riavviare il computer in modalità provvisoria;
Eseguire la scansione di tutti i dischi con un antivirus aggiornato
e annotare il nome di tutti i file infetti da questo virus;
Disabilitare le cartelle condivise da Kazaa;
Aprire l’editor del registro di configurazione e aprire la chiave:
HKEY_CURRENT_USER – SOFTWARE – KAZAA – LOCALCONTENT
Nella parte destra della finestra cancellare il valore:
“Dir0 = 012345:VIRUS”
sostituendo VIRUS con il nome della cartella contenente i file infetti,
trovata con la scansione precedente;