Si sta diffondendo nella rete di file sharing Kazaa ed è molto distruttivo
Kazaa è un noto programma di condivisione dei file, uno dei tanti eredi di Napster, usati per scambiare file tra utenti via Internet. Le caratteristiche di questi programmi li rendono un buon veicolo di diffusione di infezioni informatiche e, purtroppo, pare che gli autori di virus se ne stiano accorgendo.
Supova, tecnicamente chiamato W32.Supova.B.Worm, si diffonde proprio attraverso la rete di utenti di Kazaa. Per la precisione, occorre avere installato in Windows questo popolare programma per contrarre il virus. Si spaccia di regola per il crack di un qualche noto programma commerciale, ovvero il programma per eliminare la protezione anti copia di un software commerciale e si sta diffondendo rapidamente.
L’infezione è lunga 14.336 bytes ed il codice del programma funziona con tutte le versioni di Windows (Nt-XP), purché, come detto, si sia installato Kazaa.
Quando si preleva il programma del virus, eseguendolo appare un messaggio di errore del tipo:
Application attempted to read memory at 0xFFFFFFFFFh Terminating application
Il nome della finestra del messaggio di errore è SUPOVAB.EXE, il nome del programma eseguito. In realtà, non siamo incappati in un programma difettoso, come spesso accade nei file prelevati dai sistemi di file sharing, ma il virus è entrato in azione. Copia nella cartella C:\Windows\media con i seguenti nomi:
Windows XP key generator.exe,
Windows XP serial generator.exe,
Key generator for all windows XP versions.exe,
Warcraft 3 ONLINE key generator.exe,
Half-life ONLINE key generator.exe,
Quake 4 BETA.exe,
Grand theft auto 3 CD1 crack.exe,
GTA3 crack.exe,
Battle.net key generator (WORKS!!).exe,
Warcraft 3 battle.net serial generator.exe,
Half-life WON key generator.exe,
Star wars episode 2 downloader.exe,
Winzip 8.0 + serial.exe,
Winrar + crack.exe,
Britney spears nude.exe,
Macromedia MX key generator (all products).exe,
KaZaA media desktop v2.0 UNOFFICIAL.exe,
Microsoft key generator,
works for ALL microsoft products!!.exe,
Microsoft Windows XP crack pack.exe,
Hack into any computer!!.exe,
DivX codec v6.0.exe,
DivX newest version.exe,
DivX.exe,
DivX pro key generator.exe,
Key generator for over 1,000 applications (really!).exe,
DivX patch - Increases quality.exe,
KaZaA spyware remover.exe,
Age of empires 2 crack.exe,
Norton antivirus 2002.exe,
Macromedia Dreamweaver MX Key Generator.exe,
Macromedia Flash MX Key Generator.exe,
Neverwinter nights crack.exe,
Microsoft Office XP (english) key generator.exe,
Microsoft Office XP.iso.exe,
CloneCD + crack.exe,
CloneCD all-versions key generator.exe,
XBOX emulator (WORKS!!).exe,
Gamecube Emulator (WORKS!!).exe,
Xbox.info.exe,
Grand Prix 4 crack.exe,
Nokia simlock remover (includes new models).exe,
Britney spears hard porn (REAL!).exe,
Christina Aguilera fuck (REAL!).exe,
Kiddy child incest porn.exe,
Doom 3 preview!!.exe,
Crazy taxi crack.exe,
Copy protection remover.exe,
Sex.exe,
A.exe,
Jedi Knight 2 crack.exe,
Warcraft 3 trainer.exe,
Cable modem uncapper.exe,
Grand theft auto 3 trainer.exe,
KaZaA hack.exe,
KaZaA lite.exe,
Dragonball Z.exe,
Dragonball Z COMPLETE episode guide.exe,
Dragonball Z shootout.exe,
Dragonball Z episode 1.exe,
J-LO Nude (REAL!!).exe,
Doom 3 screenshots.exe,
Resident Evil [DivX].exe,
Shrek.exe,
Starcraft 2 preview!.exe,
Starcraft battle.net key generator.exe,
Starcraft ONLINE crack.exe
La cartella condivisa di Kazaa viene cambiata nella c:\windows\media, in modo che il virus stesso diventi di nuovo condiviso per altri utenti, che possono trovarlo e prelevarlo, infettandosi a loro volta. Il programma è dotato di un’icona standard, per apparire innocuo. Inoltre si copia nella cartella \Windows, con uno dei seguenti nomi:
Alles-ist-vorbei.exe,
Desktop-shooting.exe,
Hello-Kitty.exe,
BigMac.exe,
Cheese-Burger.exe,
Blaargh.exe
Quindi crea nella cartella \windows un file di testo, con nome composto da 12 numeri casuali e suffisso .txt, che contiene il seguente testo:
W32.Supernova - Ban religion
---------------------------------------------------
Religion = War
Religion = Based on fairytales
Wars based on fairytales?
Ban religion, welcome to the truth
---------------------------------------------------
Inoltre, cerca di inviare I seguenti messaggi ai contatti trovati nella rubrica di Msn Messenger:
Hehe, check this out :-)
Funny, check it out (h)
LOL!! See this :D
LOL!! Check this out :)
Hehe, this is fun :-)
Il virus modifica il registry per avviarsi ad ogni accensione del computer. Poi inizia la parte più dannosa. Mostra il messaggio:
Owned by the blasting star
e cancella tutti i file delle cartelle Windows, Windows\system e Windows\system32. Infine, rallenta le performance dell’accesso ad Internet perché tenta di eseguire un attacco Dos (Denial of Service) ai siti www.islamicity.com, www.christianity.com e www.beliefnet.com.
Dopo la cancellazione dei files mostra il messaggio:
Patch the leaks…Or the ship will sink…
seguito dalla finestra messaggio:
Religion is war
Il virus dovrebbe essere riconosciuto ed eliminato dagli antivirus commerciali aggiornati dopo il 18 luglio 2002. Bisogna però di solito eliminare a mano la stringa
Supernova
presente nel Registry nella posizione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
