Questo worm si sta diffondendo su MSN molto rapidamente.
Si viene contattati da frasi allusive del tipo:
you care if i put this pictuer of you in my new album?
haha lets hope your parents dont see this picture of you
can i up some of these pics of ya to my myspace profile?
This picture isn’t you, right?
Se avete decompresso ed eseguito il file che seguiva alle scritte img_1123.rar allora sappiate che siete stati infettati.
La prima cosa da fare è avvisare tutti i contatti di msn dicendo loro di NON ACCETTARE quel file da voi inviato perché contiene il worm in questione.
Il secondo passo è il seguente, scaricate questo file compresso, contentente un tool di rimozione virus della sophos con incluso all’interno la .ide che vi serve(una libreria necessaria alla rimozione del suddetto worm).
Ho creato un file al0ha.bat che vi permetterà di eseguire facilmente il tool di rimozione automaticamente ovvero senza aprire shell di comando.
Chi vuole eseguire la procedura automaticamente seguisse questi passi.
Scarica Tool Sophos
Scaricate tutti questi files, decomprimeteli tutti nella stessa cartella che chiamerete antiworm, copiateci all’interno anche al0ha.bat.Ora cliccate con il destro su risorse del computer e Disattivate il ripristino automatico del sistema. Applicate le impostazioni e riavviate la macchina in modalità provvisoria (premendo F8 qualche secondo prima dell’avvio di windows)
Scegliete Modalità provvisoria.
Una volta entrati in modalità provvisoria da amministratori,
1)aprite la cartella antiworm
2)cliccate due volte (eseguendo) il file chiamato al0ha.bat.
3) Seguite il tool di rimozione fino ad operazione ultimata e riavviate SEMPRE in modalità provvisoria.
4) Ripetete il procedimento e se non è stato trovato nulla questa volta riavviate in modalità Normale.
A questo punto dovreste essere completamente puliti e potrete Riattivare il Servizio di ripristino disabilitato in precedenza.
Il worm si diffonde solo tramite msn ma anche skype sembra non esserne immune…
Questa soluzione è valida naturalmente solo per sistemi Windows. Le persone che mi hanno contattato e spinto a scrivere questo articolo, erano possessori di questo sistema operativo. :(
Per tutti gli altri sistemi operativi la procedura da seguire la trovate quì.
English Version
X Luis :)
Man, follow those steps:
1) Download all those files
Once you’ve done this
2) Extract Tool Sophos in one folder (double click on it).
3) Copy also IDE file and al0ha.bat in THAT directory.
You’ll have this result folder:
4) Now, go to the control panel
-> Open System.
5) Disable the system restore function.
6) Apply changes.
7) Reboot Your System and go to SAFE BOOT. (Press F8 Key before loading WindowsXP)
8) Enter in your system in safe mode.
9) Once you’ve done this open the folder that you created before that contains all files you needs.
10) Execute al0ha.bat (double click on it)
11) Wait until the process will complete scanning and removing.
***If al0ha.bat doesn’t function, go to the command line (Start->Execute->cmd.exe)
***Move to your ANTIWORM DIRECTORY (Example-> cd c:\antiworm)
***NOW Digit: SAV32CLI.exe -REMOVE -P=c:\log.txt
***wait until the end of the process.
12) Now, reboot your system in normal way.
13) Repeat this scan in your system again.
14) If you don’t find any other file infected with this worm , enable system restore again.
Hope that this could help you in solve your problem with this worm.
6 comments su “This picture isn’t you, right? W32-IRCBOT-XV”