W32.HLLW.Winevar (W32.Funlove.4099)

W32.HLLW.Winevar è un virus a propagazione di massa che disabilita alcuni programmi di antivirus e firewall e manda a sua volta in esecuzione il virus W32.FunLove.4099. W32.HLLW.Winevar arriva in una e-mail contenente 3 attachment, dai nomi variabili ma che rispettano il seguente formato: 1) Win.Txt (12.6 KB) Music_1.htm 2) Win.Gif (120 Bytes) Music_2.ceo 3) Win.pif. Una volta eseguito il virus compie notevoli danni: a) cancella tutti i files contenuti nelle directory il cui nome contenga “antivirus”, “cillin”, “nlab”, “vacc” b) se i tempi di caricamento del SO sono lunghi, il virus prova a cancellare tutti i files contenuti in tutte le directory del disco rigido! c) manda in esecuzione il virus W32.Funlove.4099 che infetta a sua volta i files d) può rallentare pesantemente il sistema operativo fino a paralizzarlo del tutto (quando un numero notevole di files di sistema è stato cancellato!). L’oggetto della e-mail è: Re: AVAR(Association of Anti-Virus Asia Reseachers) oppure N`4?[registered organisation oppure “Trand Microsoft Inc.”]. Gli attachment hanno le seguenti dimensioni: 91089 bytes (.ceo e .pif) e 609 bytes (.htm). Il virus quindi si annida nei registri nella chiave di RUN e lancia all’avvio di Windows il popup “Make a fool of oneself” recante il messaggio “What a foolish thing you have done”! Se il sistema operativo è stato fortemente compromesso l’unico rimedio è quello di reinstallarlo. Di seguito trovate comunque il fix rilasciato da Symantec. Scheda tecnica su SymantecPreleva la Cura by Symantec