E’ molto pericoloso: si attiva senza aprire allegati e cancella tutti i file del disco.
16 dicembre 2002 Si tratta di un virus che ben evidenzia quella che sembra essere la tendenza delle ultime infezioni più pericolose.
Winevar sfrutta i sistemi di lettura della posta elettronica non aggiornati per avviarsi senza eseguire né aprire alcun file allegato, ma semplicemente visualizzando l’anteprima del messaggio in sistemi Outlook e Outlook Express (purché non aggiornati e quindi soggetti a problemi di protezione con il linguaggio Html). Inoltre, per eseguire una infezione più deleteria, usa installare nel sistema il codice di un altro virus conosciuto per la sua feroce efficienza, in questo caso Funlove 4099.
Il virus arriva per posta elettronica, spesso da persona nota, con la seguente intestazione:
Soggetto: AVAR (Association of Anti-Virus Asia Researcher) Allegati: WIN.GIF (120 bytes) MUSIC_2.CEO WIN .TXT (12,6 Kb) MUSIC_1.HTM
Tale intestazione viene usata dal virus in un caso su tre (altre sono leggere varianti, comunque quasi sempre con gli stessi allegati), questo per evitare un più facile riconoscimento da parte degli antivirus e, in particolare, degli utenti.
Il corpo del messaggio contiene il nome dell’utente e della società registrati nel sistema Windows infetto che ci ha spedito il messaggio. Pertanto, appare spesso come una persona nota e della quale siamo portati a fidarci.
Infatti, quando il virus viene avviato, legge tutti gli indirizzi noti dalla rubrica dei contatti di Windows e dai file Html presenti nel disco locale. A questi indirizzi spedisce tale messaggio infettivo, ovviamente in modo trasparente per il possessore del sistema infettato. Curiosamente, il virus evita di spedire una copia di se stesso ad indirizzo interni a Microsoft (ovvero, a tutti quegli indirizzi che comprendono la sequenza @microsoft).
Il virus tenta di cancellare tutti i file dei drive locali (risparmia quelli in rete) una volta che ha trovato la cartella ANTIVIRUS nei sistemi infetti. Nel farlo, presenta una finestra intitolata “Make a fool of oneself” che contiene l’avverimento “What a foolish thing you have done!” e un tasto OK per chiuderla. Che si clicchi il pulsante o meno, il Worm cancella comunque tutti i file nel sistema.
Se non viene rilevata una connessione ad Internet, il virus installa il file AAVAR.PIF nella cartella Windows\System ,ovvero una versione leggermente modificata del file PE_FUNLOVE.4099. Tale virus infetta tutti i file eseguibili del disco fisso.
Infine, il virus dovrebbe ricercare e cancellare i file che contengono parole appartenenti ad alcuni antivirus commerciali: antivirus, cillin, nlab e vacc. A causa di un bug del programmatore, il virus cancella invece tutti i file del disco fisso. In ogni caso, può rilevare e terminare i moduli di scansione residenti di parecchi antivirus, evitando di essere intercettato.
Il virus è conosciuto dal 24 novembre e dovrebbe dunque essere intercettato da tutti gli antivirus commerciali aggiornati. Inoltre, è inefficace nell’attivazione automatica (senza aprire gli allegati) se si usano sistemi aggiornati contro i problemi di protezione del browser Internet Explorer (usato da Outlook per leggere i messaggi Html), ad esempio usando il servizio Microsoft Windows Update.
