Network Security Distributor
 
   
 SYMBOLIC
 Antivirus Security Division
 
 28 Agosto 2006
 
 NOME: Warezov.DC
Descrizione Breve
 
Warezow è un mass-mailing worm che si diffonde tramite allegato e-mail verso indirizzi presenti nei PC infetti.
 
Inoltre Warezov.DC cerca di prelevare da specifici siti Web altre tipologie di trojan.

 
Rimozione Automatica
 
Tipicamente standalone malware (backdoors, worms, trojans, etc.) vengono rimossi automaticamentei da F-Secure Anti-Virus dalla versione 5.40. I file dei malware vengono rinominati in modo che non possano essere rieseguiti al successivo riavvio del PC.
In alcuni rari casi , quando la disinfezione automatica non è possibile, un utente può selezionare l'azione da compiere in modo da poter rinominare o cancellare i file ifetti.
 
E' possibile che per alcune tipologie di infezioni si debbano utilizzare specifici tool di rimozione prelevabili dai seguenti erver FTP:
 
ftp://ftp.f-secure.com/anti-virus/tools/
 
Tutte le versioni di F-Secure Anti-Virus prelevabno le impronte automaticamente. Tuttavia, questi aggiornamenti possono anche essere scaricati e installati manualmente dai seguenti erver FTP:
 
http://www.f-secure.com/download-purchase/updates.shtml
 
Rimozione Manuale
 
Per disinfettare manualmente il malware standalone (ackdoors, worms, trojans, etc.) è necessario cancellare tutti i file infetti e al termine riavviare il PC. Solitamente i file infetti sono bloccati dal sistema operativo e sono necessarie diverse tipologie di rimozione per ogni infezione. E' da notare che la rimozione manuale è abbastanza rischiosa ed è da utilizzare solamente dagli utenti esperti.
 
Se viene utilizzato un sistema operativo tipo Windows 95, 98 e ME è consigliabile utilizzare un dischetto di boot per cancellare i file infetti dal prompt dei comandi. Per esempio se una file infetto chiamato ABC.EXE è necessario digitare per la rimozione la seguente stringa:
 
DEL C:\WINDOWS\ABC.EXE
 
e successivamente premere invio.Se viene invece utlizzato come sistema operativo (Windows 2000, Windows XP) sarà necesario rinominare il file infetto, e al successivo riavvio del PC quando questo non riuscirà più a partire cancellarlo manualmente.
 
Tool per Rimozione Malware
 
F-Secure ha creato specifici tool per la rimozione di alcune tipologie di Malware. Questi tool sono disponibili per il download ai seguenti link:
 
http://www.f-secure.com/download-purchase/tools.shtml
 
ftp://ftp.f-secure.com/anti-virus/tools/
 
 
Windows System Restore
 
System Volume Information che è un'area che Windows XP utilizza per salvare l'ultima cofigurazione sicuramente funzionante.
L'Anti-Virus non può eliminare o disinfettare file infetti in questa area se prima questa non viene disabilitata temporaneamente.

Di seguito sono descitte le operazioni per disattivare la System Volume Information

1. Fare clic sul pulsante Start, fare clic con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
2. Fare clic sulla scheda Ripristino configurazione di sistema.
3. Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema oppure la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità, quindi scegliere OK.
4. Scegliere Sì alla richiesta di disattivare lo strumento Ripristino configurazione di sistema.

A questo punto è necessario riattivare il System Volume Information

Per attivare lo strumento Ripristino configurazione di sistema, attenersi alla seguente procedura:
1. Fare clic sul pulsante Start, fare clic con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
2. Fare clic sulla scheda Ripristino configurazione di sistema.
3. Deselezionare la casella di controllo Disattiva Ripristino configurazione di sistema oppure la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità, quindi scegliere OK.
 
Disinfezione Fallita
 
Può succedere che in alcuni casi F-Secure Anti-Virus non possa disinfettare automaticamente un sistema infetto. In questo caso è possibile controllare la pagina di supporto al seguente link:
 
http://support.f-secure.com/ita/home/virusproblem/howtoclean/
 
Descrizione Dettagliata
 
Una volta che Warezov.DC viene eseguto nel sistema, lancia l'applicazione Notepad aprendo un file tmp contenete stringhe cifrate, che viene utilizzato come esca:
 
 
 
In aggiunta crea due chiavi nel registro di sistema per eseguire a ogni avvio i propri file:
 
  • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "serrv" = "%WinDir%\serrv.exe s"
    •  
  • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    APPInit_DLLs=e1.dll
    •  
    Inoltre vengono creati i seguenti files:
     
    * %windir%\serrv.exe - Installer
    * %windir%\serrv.wax - Gathered e-mail
    * %sysdir%\e1.dll
    * %temp%\~[incremental starting from 1].tmp - Encypted strings shown
    * %windir%\serrv.z
     
    Warezov.DC tenta di collegarsi in ordine ai seguenti link per tentare di scaricare altri Malware:
     
  • http://www2.vedasetionkderun.com/chr/819/l[REMOVED].exe
  • http://www2.vedasetionkderun.com/chr/819/n[REMOVED].exe
  • http://www3.vedasetionkderun.com/chr/819/l[REMOVED].exe
  • http://www3.vedasetionkderun.com/chr/819/n[REMOVED].exe
  • http://www4.vedasetionkderun.com/chr/819/l[REMOVED].exe
  • http://www4.vedasetionkderun.com/chr/819/n[REMOVED].exe
  • http://www5.vedasetionkderun.com/chr/819/s[REMOVED].exe
  • http://www5.vedasetionkderun.com/chr/819/s[REMOVED].exe
  • http://www6.vedasetionkderun.com/819/n[REMOVED].exe
  • http://www6.vedasetionkderun.com/chr/819/l[REMOVED].exe
  • http://www6.vedasetionkderun.com/chr/819/n[REMOVED].exe
    •  
    F-Secure Corporation

      Contatti | Dove Siamo | Trademark