Dietro un semplice giochino si nasconde un terribile distruttore di file.
E’ un ormai classico virus di posta elettronica che si è diffuso in tutto il mondo in particolare nel mese di febbraio 2002. Il messaggio che arriva, spesso da persone conosciute, è il seguente:
Soggetto: Are you (nome del ricevente) my valentine?
Testo: Hi (Name) my valentine, remember me? I ain’t seen you in ages! Anyway, check-out and play the attached guess-the-number-game to guess who I am. See you soon, bye-bye!
Allegati: GuessName.html, GuessGame.vbs.
Se si esegue il file Html allegato, mostra un pannello di messaggio con il seguente testo, mentre il virus esegue il file Guessgame.vbe allegato:
“Guess Game instructions:
1. Save it on your computer Desktop or in My Documents, don’t open as attachment else it won’t load.
2. This game requires ActiveX technology, press Yes on the following dialog to play.”
Il virus contenuto nel programma Vbe allegato si copia nella cartella System del nostro sistema Windows sul disco fisso.
Quando il file Html è aperto, il Worm invia una copia del file stesso a tutti gli indirizzi elencati nella Rubrica di Windows, usando il sistema Mapi integrato. Se per qualche motivo non riesce in questo compito, comunque tenta di inviare il file Vbe in sostituzione.
Il virus copia nella cartella System anche il vile GuessGame.vbs nella cartella System e lo esegue in modalità Ms Dos. Questo file cambia la data di sistema all’8 aprile 1981 e modifica varie voci del Registry di Windows.
Quindi inizia la sua attività nociva, cancellando praticamente tutti i file del nostro disco fisso: cartella principale di Windows, Desktop di Windows, System, Windows\Command, Windows\Inf, Documents and Settings e così via, procedendo poi a tutti i drive di rete, eliminando i contenuti di cartelle e sottocartelle.
Crea e esegue il file GuessGame.bat nella cartella System e, se possibile, si copia nel file Autoexec.bat dell disco di avvio di tutti i drive di rete ai quali ha accesso in scrittura.
Questo file batch contiene i comandi per cancellare i file dotati di una ventina di estensioni molto comuni (Sys, Dll, Ocx, Exe, Doc, Xls e così via).
Il virus, per distrarre l’utente, avvia in effetti un semplice gioco in cui deve indovinare un numero casuale formulato dal programma. Ad ogni tentativo, viene spiegato se quello indicato è inferiore o maggiore del numero da indovinare. Durante questo tempo, il virus svolge la sua azione distruttiva.
Da notare che la versione Html del virus può anche essere collocata in una pagina Web maligna.
In questo caso, se si dispone di un browser che è privo della protezione contro l’esecuzione automatica degli script, potrebbe essere avviata l’infezione senza che l’utente faccia altro che visitare la pagina. Ovvero, senza che venga richiesta conferma se eseguire una procedura di programma caricata dal sito.
Il virus è noto ai principali programmi antivirus dalla metà di febbraio 2002. Pertanto, se usiamo un sistema antivirus aggiornato dovrebbe essere intercettato e neutralizzato prima che entri in funzione.
