AVP-Antiviral Toolkit Pro
Drive to scan and clean PackAger I-Worm
AVP is NOT FREE/SHAREWARE
You have to register AVP for new benefits
This software will run once on this computer.
ready to scan..

La finestra comprende un pulsante, SCAN NOW, premendo il quale viene simulata la scansione (come quelle degli antivirus), in realtà viene eseguito il codice infetto, per l’installazione di sé stesso. Alla fine il programma chiede di riavviare la macchina:

AVP-Antiviral Toolkit Pro
Rebooting now to finish the disinfection

Viene creata una copia del file eseguibile nella cartella C:\WINDOWS, con un nome casuale.
Viene modificato il registro di configurazione, per abilitare l’esecuzione automatica del codice virale.

PROPAGAZIONE

Il virus sfrutta le cartelle condivise tramite Kazaa per la sua diffusione. Crea copie di se stesso nelle directory condivise. Il nome del file viene preso da uno di quelli esistenti nella cartella, che non sia un programma, cambiando l’estensione originale con .EXE. Inoltre, cerca di connettersi ad un server IRC (Internet Relay Chat).

ISTRUZIONI PER RIMUOVERE IL VIRUS  

1. Riavviare il computer in modalità provvisoria;
2. Eseguire la scansione di tutti i dischi utilizzando un antivirus aggiornato e annotare i file infetti dal virus;
3. Eseguire il Task Manager di Windows (CTRL – ALT – CANC) e terminare i programmi corrispondenti all’infezione, trovati con la scansione del punto 1;
4. Aprire l’editor del Registro di Configurazione e aprire la chiave:
   HKEY_LOCAL – MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION – RUN;
5. Nella parte destra della finestra cancellare la voce:
   <name1> = C:\Windows\<name1>.exe
6. Aprire la chiave:
   HKEY_CURRENT_USER – Software – KAZAA – LOCALCONTENT
7. Nella parte destra della finestra cancellare le seguenti voci, se presenti:
   BehindProxy "1"
   KaZaARegKey ""
   DisableSharing "0"
8. Riavviare il PC.