Pur diversi tra loro, condividono la medesima tecnologia infettiva
Alcarys.D@mm arriva come allegato di un messaggio di posta elettronica e si propone come un innocuo gioco dell’alfabeto. Per dare una parvenza di maggiore affidabilità, il messaggio in lingua inglese afferma che siamo stati selezionati per una prova del gioco, distribuito da Tucows. In realtà, quest’ultimo è uno dei maggiori distributori di programmi di pubblico dominio di Internet e che non ha nulla a che fare col gioco-virus in questione né con l’email che riceviamo.
Il soggetto del messaggio che arriva, spesso da persone conosciute, è Hello… “You’re randomly Chosen As a Tester”. Il messaggio dice: “Check out this new game from www.tucows.”
I file allegati sono Regkey.pif e VBGame.com, per un totale di circa 63 KB. Se si esegue quest’ultimo allegato, viene avviato il virus che provvede ad eseguire una serie di modiche al Registro di Windows e ai suoi file di sistema. Quindi, passa a inviare copie di se stesso, col messaggio sopra riportato (e relativi allegati) a tutti i contatti che trova nella rubrica di Outlook Express.
Alcarys.d (noto anche come Palco.a) è una variante di Alarys.c, che si spaccia invece come una utile macro di Microsoft Word. Se si esegue l’allegato del messaggio, scritto in Visual Basic, sostituisce il file Normal.dot usato come documento standard di Microsoft Word con uno contenente macro che vengono eseguite quando si chiude il documento.
I virus di questa famiglia sono riconosciuti e eliminati dai moderni antivirus, in genere se aggiornati a partire dal 14 marzo.
