DESCRIZIONE
Quando viene eseguito, visualizza una finestra di dialogo la quale
comunica all’utente che si tratta di un programma per rimuovere le infezioni.
Il testo del messaggio è il seguente:
AVP-Antiviral Toolkit Pro
Drive to scan and clean PackAger I-Worm
AVP is NOT FREE/SHAREWARE
You have to register AVP for new benefits
This software will run once on this computer.
ready to scan..
La finestra comprende un pulsante, SCAN NOW, premendo il quale viene
simulata la scansione (come quelle degli antivirus), in realtà
viene eseguito il codice infetto, per l’installazione di sé stesso.
Alla fine il programma chiede di riavviare la macchina:
AVP-Antiviral Toolkit Pro
Rebooting now to finish the disinfection
Viene creata una copia del file eseguibile nella cartella C:\WINDOWS,
con un nome casuale.
Viene modificato il registro di configurazione, per abilitare l’esecuzione
automatica del codice virale.
PROPAGAZIONE
Il virus sfrutta le cartelle condivise tramite Kazaa per la sua diffusione.
Crea copie di se stesso nelle directory condivise. Il nome del file
viene preso da uno di quelli esistenti nella cartella, che non sia un
programma, cambiando l’estensione originale con .EXE. Inoltre, cerca
di connettersi ad un server IRC (Internet Relay Chat).
ISTRUZIONI PER RIMUOVERE IL VIRUS
- Riavviare il computer in modalità provvisoria;
- Eseguire la scansione di tutti i dischi utilizzando un antivirus
aggiornato e annotare i file infetti dal virus;
- Eseguire il Task Manager di Windows (CTRL – ALT – CANC) e terminare
i programmi corrispondenti all’infezione, trovati con la scansione
del punto 1;
- Aprire l’editor del Registro di Configurazione e aprire la chiave:
HKEY_LOCAL – MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION
– RUN;
- Nella parte destra della finestra cancellare la voce:
<name1> = C:\Windows\<name1>.exe
- Aprire la chiave:
HKEY_CURRENT_USER – Software – KAZAA – LOCALCONTENT
- Nella parte destra della finestra cancellare le seguenti voci, se
presenti:
BehindProxy "1"
KaZaARegKey ""
DisableSharing "0"
- Riavviare il PC.