Yarner, il finto antivirus

In due versioni ed in tedesco, millanta di essere uno strumento contro i virus troiani

Virus di tipo worm di posta elettronica, scoperto in Germania nella seconda metà di febbraio, è attualmente in rapida diffusione in tutta Europa. Arriva come allegato di un messaggio di posta elettronica, lungo circa 400 KB. Il virus, curiosamente, è uno dei pochi sviluppato in linguaggio Delphi di Borland.

Il testo del messaggio è in lingua tedesca, il che ha rallentato sensibilmente la sua diffusione fuori dalla Germania, dove sembra essere certo sia nato questo virus. Il messaggio ha questo formato:

Da: webmaster@trojaner-info.de
Soggetto: Trojaner-Info Newsletter
Allegato: yawsetup.exe

Il testo del messaggio è firmato, in modo fasullo, da Andreas Haak, programmatore ed esperto di sicurezza noto in Germania per avere realizzato un software contro i virus troiani. L’indirizzo del mittente, pure fraudolento, è proprio quello della newsletter informativa sui virus del sito di Haak, il quale non ha evidentemente nulla a che fare con il virus. Il messaggio consiglia di eseguire l’allegato, che sarebbe una nuova versione del programma contro i troiani sviluppato da Haak.

Se si esegue il programma allegato all’email, il file yawsetup.exe, il virus entra in azione. Sostituisce il programma Notepad.exe con un altro programma e l’oridingale Notepad.exe (il Blocco Note di Windows) viene rinomiato Notedpad.exe. Poi recupera dalla Rubrica di Windows (quella usata da Outlook) e da tutti i file Html, Php, Cgi e simili nel disco fisso indirizzi di E-mail. Ricava dal Registro di Windows l’indirizzo del server Smtp di invio della email e, all’insaputa dell’utente, invia una copia del messaggio prima citato, con l’allegato infettivo, a tutti gli indirizzi trovati.

Modifica anche altre voci del Registro di Windows per potere entrare in azione ad ogni accensione o riavvio del computer.

Il danno maggiore prodotto da questo virus, in almeno una delle sue varianti, è di cancellare tutti i file del disco fisso dove è installato Windows.

Il virus è riconosciuto e eliminato dai prodotti antivirus commerciali aggiornati dopo il 15-20 febbraio 2002.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome