Anche se poco pericoloso, parla italiano ed è subdolo
Tecnicamente chiamato Trojan.Prova, è un virus che merita attenzione per almeno due buoni motivi. Innanzitutto, è quasi sicuramente di origine italiana, pertanto è probabile che nonostante gli indici di pericolosità e diffusione dei produttori antivirus siano bassi, perché riferiti a livello mondiale, nel nostro Bel Paese potrebbe comunque causare forti epidemie.
In secondo luogo, è un virus nuovo che non arriva necessariamente per posta elettronica, ma che può integrarsi in programmi che vengono poi prelevati da siti Internet. Ciò lo rende particolarmente pericoloso per quegli utenti che hanno ormai imparato a diffidare dai messaggi di posta elettronica, ma non da programmi o utility prelevate da Internet o passate su floppy disk o altri supporti da amici.
La peculiarità di un virus di tipo Cavallo di Troia di questo tipo, infatti, è proprio quella di camuffarsi come eseguibili “normali”, ovvero utili e comunque teoricamente innocui.
Sebbene non cancelli file, non invii email e non danneggi nulla, causa problemi per la rimozione delle voci nel menu Start e la possibilità di spegnere il computer avviando un programma apparentemente innocuo.
Il virus è compatibile in teoria con tutte le versioni di Windows attuali: 95, 98, Me, Nt, 2000 e XP, ma non funziona correttamente in ambiente Windows 2000 o XP, pur potendo provocare malfunzionamenti non prevedibili, anche se non una diffusione dell’infezione o i sintomi “classici” studiati dal suo autore.
Trojan.Prova visualizza messaggi in lingua italiana, modifica il Registry e può spegnere il computer. Crea parecchi file sul sistema infetto e molti dei file troiani generati usano un’icona corrispondente a Esplora Risorse o a un applicativo realizzato con Macromedia Flash, proprio per confondere l’utente.
Il file principale dell’infezione è un eseguibile dotato dell’icona dei software sviluppati con Macromedia Flash, grande più di 1 MB.
Quando si esegue questo programma, il virus crea consecutivamente vari file infettivi, tutti eseguibili (tranne uno). I nomi standard sono PROVA.EXE (da cui il nome del virus), QUIZ.EXE e PL.DLL. Se si esegue Prova.exe, vengono prodotti dei messaggi in italiano e della grafica animata di tipo Flash e viene eseguito Quiz.exe (690 KB). Questo, quando eseguito da Prova o dall’utente, crea i file Explorer.exe, Sistray.exe, systrai.exe nella cartella di Windows. Inoltre rinomina Msconfig.exe in System12.sys. Il File Pl.dll, lungo 17920 bytes, è una routine che server al virus per prendere il controllo del sistema.
Quando si eseguono questi file, credendoli degli applicativi “normali”, in realtà vengono generati altri file nelle cartelle di Windows, tra i quali: Sistrai.exe (che può spegnere il sistema), Autoexe.exe (esegue e cancella autoexec.bat), Zebedeo.exe (esegue autoexe.exe e Sistrai.exe).
Le modifiche apportate al Registry di Windows fanno eseguire alcune operazioni quando si accende il computer. Una, che funziona correttamente solo in sistemi Windows 95/98/Me, disabilita il programma Regedit di Windows e rimuove la voce Esegui dal menu Start di Windows. In sistemi Windows 2000, Nt e XP, come detto, il virus non funziona correttamente in quanto non riesce a modificare il Registry.
Il virus dovrebbe riconosciuto facilmente, grazie alle sue peculiarità di funzionamento, da qualunque antivirus commerciale aggiornato nei primi giorni di maggio 2002.
