Questo virus sfrutta come veicolo di propagazione la funzione autorun di Windows (in pratica da Windows '95 in poi), infettando ogni drive presente in un pc, depositando nella root due file: et3types.exe e l'autorun.inf corrispondente, il quale ogni volta si cercherà di accedere ad una partizione provocherà anche l'apertura del file eseguibile incriminato. Inoltre il virus installerà nella cartella "%windir%/system32"anche altri due file, "mgking.exe" ed una dll dal prefisso simile. Tale eseguibile verrà inserito nella lista dei programmi in esecuzione all'avvio, e quindi attivo durante l'uso quotidiano. La cosa interessante di questo virus/trojan è che finchè sarà attivo in memoria suddetto programma i due file contaminanti nella root di ogni partizione risulteranno invisibili al file manager standard di Windows, ed anche ad una ispezione attaverso il prompt dos. Fortunatamente tali file sono individuabili attraverso file manager alternativi, quali "ExplorerXP", ed inoltre i due file sono sovrascrivibili senza troppi problemi da file innocui con lo stesso nome, dopo aver terminato ovviamente mgking.exe. Sembra che questo virus contenga un keylogger, e quindi potenzialmente può raccogliere dati (e password) e mandarli a qualche malintenzionato! La sua alta capacità di propagazione, che sfrutta in maniera intensa le chiavette usb o gli hard disk esterni, come una volta virus simili infettavano i floppy disk, tuttavia si infrange contro i pc in cui l'autorun sia stato disabilitato: in questo caso ovviamente non vi è alcuna possibilità di infezione. Per disabilitare l'autorun, nel caso non l'abbiate già fatto, cliccate su "Start", Esegui, gpedit.msc,posizionatevi su "Modelli amministrativi", "System", "Turn Off Autoplay" o il corrispettivo nella lingua installata sul vostro computer, e nella scheda apposita scegliete "Attivata" e "Tutti i dischi" o "All Drives". Con il programma "Startup Control Panel" disabilitate l'avvio del file infetto, mentre con il task manager di Windows terminate il processo incriminato. Dopodichè eliminate i file infetti da ogni drive in vostro possesso tramite ExplorerXP, sia rimuovibili che fissi, ed infine scaricate ed installate Prevx, un virus scanner in versione di prova, per vedere se è rimasto qualcosa sul vostro computer. In caso affermativo rimuovete i file trovati dal programma in questione, e pensate seriamente a cambiare antivirus! Tra parentesi: AVG non lo rileva e neppure Kaspersky online lo riconosce come minaccia.
Nessun commento:
Posta un commento