Generate
Quit

Altri nomi con cui si può presentare l’infezione sono: Henpeck e W32/Fleming.worm.

PROPAGAZIONE

Si diffonde attraverso MSN Messenger, spedendo messaggi a tutti gli utenti nella lista dei contatti. I messaggi contengono il testo seguente:

“Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does!
http://home.<blocked>.net/downl0ad/BR2002.exe <-- There you can download it! give me advices on what to upgrade please!!”

Il messaggio non è infetto, l’infezione inizia se l’utente clicca sul link presente nel messaggio. Quando viene eseguito, il virus fa l’upgrade di se stesso e visualizza una finestra di dialogo contenente:

hello
Updating...

Il file di upgrade si chiama update35784.exe e viene automaticamente memorizzato nella cartella C:\.
È in grado di autoaggiornarsi automaticamente collegandosi ad un sito Internet.
Inoltre viene scaricato il file hehe2397824.exe, sempre nella cartella C:\, e viene creato il file WinUpdat.exe che viene eseguito automaticamente all’avvio di Windows.

ISTRUZIONI PER RIMUOVERE IL VIRUS  

1. Riavviare il computer in modalità provvisoria;
2. Eseguire la scansione di tutti i dischi con un software antivirus aggiornato e annotare il nome e il percorso dei file infetti dal virus;
3. Aprire il Task Manager di Windows e terminare i processi corrispondenti al virus;
4. Sempre nel Task Manager, terminare il processo “Winupdat”;
5. Aprire l’editor del registro di configurazione e aprire la chiave:
   HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION – RUN
6. Nella parte destra della finestra cancellare la voce:
   WinUpdat = "C:\WINDOWS\WinUpdat.exeupdate.ur.address"
7. Cancellare le seguenti chiavi, se presenti:
   HKEY_CURRENT_USER – SOFTWARE – VALVE – COUNTERSTRIKE – SETTINGS – KEY
   HKEY_CURRENT_USER – SOFTWARE – VALVE - HALF-LIFE – SETTINGS – KEY
8. Riavviare il PC.