La notizia arriva dallo stesso team di sviluppo del popolare client VoIP. Il virus è stato battezzato Ramex.A.
La settimana è iniziata con un nuovo virus che prende di mira gli utenti di Skype. La notizia arriva dallo stesso team di sviluppo del popolare client VoIP.
Il virus è stato battezzato Ramex.A (alias “Pykspa/Skipi”) e, una volta infettato un personal computer, provvede ad inviare automaticamente un messaggio, attraverso la funzionalità di chat integrata in Skype, a tutti i contatti presenti in rubrica. L’infezione si attiva solo nel caso in cui l’utente Skype che riceve il messaggio, provveda a cliccare sul link in esso riportato.
Dal team di Skype si fa notare come il messaggio veicolato dal virus possa essere potenzialmente in grado di trarre in inganno un gran numero di utenti inducendoli così a seguire il link dannoso. Il collegamento ipertestuale visualizzato nella finestra della chat di Skype sembrerebbe puntare infatti ad un’immagine in formato .jpg quando, in realtà, il file ha estensione .scr.
Avviandolo, il personal computer sarà immediatamente infettato. Tutti i principali produttori di soluzioni antivirus stanno rilasciando aggiornamenti per i propri software in modo tale da rilevare ed eliminare infezioni collegabili all’attività di Ramex.
Dal team di Skype si riassume anche la procedura completa che permette l’eliminazione del virus. Dopo aver riavviato il sistema in modalità provvisoria, è necessario eseguire l’Editor del registro di Windows quindi portarsi in corrispondenza della chiave HKLM/Software/Microsoft/Windows/Currentversion/Runonce. Dopo aver individuato il valore mshtmldat32.exe si deve provvedere ad eliminarlo. Dalla cartella di sistema di Windows (tipicamente \WINDOWS\SYSTEM32) debbono essere poi cancellati i file denominati wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe e sdrivew32.exe. Il virus Ramex effettua anche alcune modifiche al file HOSTS (ved. queste pagine) di Windows in modo tale da impedire l’aggiornamento automatico dei vari antivirus. E’ quindi necessario editare il file HOSTS (generalmente posizionato nella cartella \windows\system32\drivers\etc) ed eliminare tutte le informazioni aggiunte dal virus.
