12/02/10

Win32/Zimuse.A e Win32/Zimuse.B

Descrizione:

Già da alcuni giorni è in atto una infezione a livello globale di un nuovo worm. Si tratta di Win32/Zimuse.A e Win32/Zimuse.B, concepito inizialmente come scherzo verso una comunità di bikers slovacchi ma che ben presto ha varcato i confini diventando un problema a livello internazionale.
Si tratta di un malware in grado di sovrascrivere l’MBR (Master Boot Record), impedendo l’avvio di Windows.

Il  recupero dei dati corrotti risulta inoltre molto complicato e richiede l’utilizzo di software specializzato.
Inizialmente concentrata al 90% in Slovacchia, l’infezione si è diffusa rapidamente negli Stati
Uniti, Thailandia, Spagna e ora anche in Italia, Repubblica Ceca e in minor parte in altri stati europei.
Il worm utilizza due metodi differenti per diffondersi, attraverso l’integrazione all’interno di siti Web sotto forma di ZIP autoestraente o test del quoziente intellettivo oppure attraverso lo scambio di drive USB.
Le due varianti si comportano in modo differente anche per quanto riguarda i tempi di diffusione e di attivazione. La variante A impiega 10 giorni per iniziare a diffondersi via USB mentre la variante B necessita solamente di 7 giorni. Quest’ultima inoltre riduce da 40 a 20 i giorni necessari per attivare la routine distruttiva.
Inoltre, se si cerca di rimuovere il worm in modo non corretto lo stesso va immediatamente in protezione, attivandosi anticipatamente.
Di seguito la finestra che compare una volta che il worm si è attivato:

Una volta attivato:
1. crea i seguenti “file”:
    %system%\drivers\Mstart.sys (13100 B)
    %system%\drivers\Mseu.sys (18188 B)
    %system%\mseus.exe (69632 B)
    %system%\tokset.dll (195072 B)
    %system%\ainf.inf (41 B)

2. installa i seguenti “drive di sistema” (percorso, nome):
    %system%\drivers\Mstart.sys, MSTART
     %system%\drivers\Mseu.sys, MSEU

Allo scopo di ridurre il rischio della perdita dei dati, si consiglia un backup frequente e tenere il S.O. sempre aggirornato.
di seguito il link del tool di rimozione --tool--



Nessun commento:

Posta un commento