Scoperto subito dopo l’Epifania, è un Worm che si invia per posta elettronica, molto pericoloso anche se giovane e ancora poco diffuso.
Chiamato in codice JS.Gigger.A@mm, è un Worm (“verme”) caratterizzato innanzitutto dall’essere stato programmato non con i consueti linguaggi (Assembler, Microsoft Visual Basic) bensì in Javascript. Ovvero, il suffisso del file allegato ad un messaggio di posta elettronica che arriva, spesso da persone conosciute che lo hanno involontariamente fatto entrare in azione sul proprio computer, è Htm, non i soliti Exe, Com o Vbs..
E’ decisamente pericoloso, dato che quando arriva su un computer, cancella tutti i file del disco C e tenta perfino di formattarlo se il computer viene riavviato.
Ciò viene ottenuto modificano il file Autoexec.bat, presente in quasi tutti i sistemi Windows non recentissimi. Si invia automaticamente per posta elettronica a tutti i nominativi trovati nella rubrica dei contatti di Microsoft Outlook, come ormai brutta consuetudine di tutti i virus dell’ultima generazione.
Se si riceve un messaggio di posta elettronica contenente il file Mmsn_offline.htm e intestazione MSNSoftware Co., occorre cancellarlo subito. Se si esegue il file allegato e, come molto spesso possibile, il nostro sistema è in grado di eseguire correttamente codici di programma Javascript, il virus entra in azione. Infetta cioè i file Html, aggiunge una riga al file Autoexec.bat:
ECHO y|format C:
che impone la formattazione immediata, senza richiesta di conferma, al successivo riavvio di Windows. Infatti, Autoexec.bat, dai tempi di Ms Dos, è il file che contiene i comandi di avvio del computer e quello inserito dal virus è l’equivalente del comando di cancellazione completa del disco fisso.
Infine, tenta di cancellare tutti i file dal disco fisso. Per la precisione, i contenuti nei giorni 1, 5, 10, 15 e 20 del mese, lasciando il file presente ma contenente zero byte di dati (vuoto).
Per funzionare, il Worm modifica alcune voci del Registry di Windows, ma pare non sia sufficientemente evoluto per disattivare gli antivirus eventualmente residenti.
Si diffonde sia attraverso la posta elettronica, inviando a nostra insaputa degli email contenenti una copia del codice Javascript del virus, sia attraverso il sistema di comunicazione mIrc. In pratica, i file Script.ini vengono soprascritti con dei comandi script di mIrc, per inviare virus alle altre persone che raggiungono un canale di comunicazione dove è presente un utente infettato. Tutti i file con suffisso Asp, Htm e Html vengono infettati.
Le indicazioni dell’infezione in atto sono dunque diverse: Windows fornire un errore al riavviamento tipo “errore nel file Exe”. Inoltre molti file sono lunghi zero bytes e hanno l’icona standard di Windows associata ad esso.
Si noti che gli utenti di Windows Me e XP hanno il sistema di ripristino automatico dei file di sistema che potrebbe copiare automaticamente il virus in C:\_RESTORE. In pratica, un file infetto pur ripulito potrebbe essere stato messo “al sicuro” dal sistema di protezione automatica dei file di sistema di questi sistemi operativi, dove nemmeno molti antivirus possono agire. Il consiglio, per ripulire correttamente il sistema eventualmente infetto, è dunque di disattivare il sistema System Restore, usando la procedura standard in Microsoft System Information per evitarne il caricamento. La funzione può essere ripristinata dopo avere cancellato il virus con un buon antivirus aggiornato.
Per evitare di contrarre il virus, è come sempre consigliato avere un antivirus aggiornato che controlla la posta elettronica in arrivo. Inoltre, evitare di aprire file sospetti (anche in formato Html), soprattutto se prima non li si è esaminati con un antivirus aggiornatissimo, anche se provenienti da persone conosciute