DESCRIZIONE
Si tratta di un virus residente in memoria, implementato con il linguaggio
di programmazione Visual Basic. Quando viene eseguito, apre una finestra
di dialogo contenente:
Generate
Quit
Altri nomi con cui si può presentare l’infezione sono: Henpeck
e W32/Fleming.worm.
PROPAGAZIONE
Si diffonde attraverso MSN Messenger, spedendo messaggi a tutti gli
utenti nella lista dei contatti. I messaggi contengono il testo seguente:
“Hey!! Could you please check out this program for me? :) I made
it myself and want people to test it. Its a readme with the program
that explains what it does!
http://home.<blocked>.net/downl0ad/BR2002.exe <-- There you can
download it! give me advices on what to upgrade please!!”
Il messaggio non è infetto, l’infezione inizia se l’utente clicca
sul link presente nel messaggio. Quando viene eseguito, il virus fa
l’upgrade di se stesso e visualizza una finestra di dialogo contenente:
hello
Updating...
Il file di upgrade si chiama update35784.exe e viene automaticamente
memorizzato nella cartella C:\.
È in grado di autoaggiornarsi automaticamente collegandosi ad
un sito Internet.
Inoltre viene scaricato il file hehe2397824.exe, sempre nella cartella
C:\, e viene creato il file WinUpdat.exe che viene eseguito automaticamente
all’avvio di Windows.
ISTRUZIONI PER RIMUOVERE IL VIRUS
- Riavviare il computer in modalità provvisoria;
- Eseguire la scansione di tutti i dischi con un software antivirus
aggiornato e annotare il nome e il percorso dei file infetti dal virus;
- Aprire il Task Manager di Windows e terminare i processi corrispondenti
al virus;
- Sempre nel Task Manager, terminare il processo “Winupdat”;
- Aprire l’editor del registro di configurazione e aprire la chiave:
HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION
– RUN
- Nella parte destra della finestra cancellare la voce:
WinUpdat = "C:\WINDOWS\WinUpdat.exeupdate.ur.address"
- Cancellare le seguenti chiavi, se presenti:
HKEY_CURRENT_USER – SOFTWARE – VALVE – COUNTERSTRIKE – SETTINGS –
KEY
HKEY_CURRENT_USER – SOFTWARE – VALVE - HALF-LIFE – SETTINGS – KEY
- Riavviare il PC.