Si chiama Ramex.A e si diffonde attraverso la funzionalità di chat integrata. La procedura per eliminarlo in caso di infezioni.
Un nuovo virus prende di mira gli utenti di Skype. La notizia arriva dallo
stesso team di sviluppo del popolare client VoIP.
Il virus è stato battezzato Ramex.A (alias “Pykspa/Skipi”) e, una volta infettato un personal computer, provvede ad inviare automaticamente un messaggio, attraverso la funzionalità di chat integrata in Skype, a tutti i contatti presenti in rubrica. L’infezione si attiva solo nel caso in cui l’utente Skype che riceve il messaggio, provveda a cliccare sul link in esso riportato.
Dal team di Skype si fa notare come il messaggio veicolato dal virus possa essere potenzialmente in grado di trarre in inganno un gran numero di utenti inducendoli così a seguire il link dannoso. Il collegamento ipertestuale visualizzato nella finestra della chat di Skype sembrerebbe puntare infatti ad un’immagine in formato .jpg quando, in realtà, il file ha estensione .scr.
Avviandolo, il personal computer sarà immediatamente infettato. Tutti i principali produttori di soluzioni antivirus stanno rilasciando aggiornamenti per i propri software in modo tale da rilevare ed eliminare infezioni collegabili all’attività di Ramex.
Dal team di Skype si riassume
anche la procedura completa che permette l’eliminazione del virus. Dopo aver
riavviato il sistema in modalità provvisoria, è necessario eseguire l’Editor del
registro di Windows quindi portarsi in corrispondenza della chiave
HKLM/Software/Microsoft/Windows/Currentversion/Runonce. Dopo aver individuato il
valore mshtmldat32.exe si deve provvedere ad eliminarlo. Dalla cartella di
sistema di Windows (tipicamente \WINDOWS\SYSTEM32) debbono essere poi cancellati
i file denominati wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe e
sdrivew32.exe.
Il virus Ramex effettua anche alcune modifiche al file HOSTS di Windows in
modo tale da impedire l’aggiornamento automatico dei vari antivirus. E’ quindi
necessario editare il file HOSTS (generalmente posizionato nella cartella
\windows\system32\drivers\etc) ed eliminare tutte le informazioni aggiunte dal
virus.
