Per ulteriori informazioni (riservato ai giornalisti) Il Symantec Security Response Center (SSRC) segnala un aumento di pericolosità di W32.Goner.A@mm, un worm scritto in Visual Basic che si propaga principalmente via posta elettronica. Milano, 5 dicembre 2001 - W32.Goner.A@mm è stato compresso mediante un noto packer PE e le sue dimensioni sono pari a circa 159KB non compressi. Il worn si diffonde principalmente tramite Outlook ma anche mediante reti IRC e ICQ. W32.Goner.A@mm si attiva mostrando la seguente finestra: Una volta attivato il worm inizia a leggere in background la rubrica indirizzi di Microsoft Outlook inviando automaticamente una copia di se stesso, in allegato, a tutti gli indirizzi che riesce a trovare. Il messaggio di posta elettronica assume il seguente aspetto: Il worm aggiunge anche una voce di registry chiamata C:\%SYSTEM%\gone.scr (dove %SYSTEM% è il percorso della cartella Windows\System). Il valore di questa voce è identico al suo nome; la sua posizione nel registry è KLM\Software\Microsoft\Windows\CurrentVersion\Run. Infine, il worm visualizza il seguente messaggio di errore: Qualora mIRC, un programma per Internet Relay Chat, sia installato sul computer infetto, il worm può inserire anche alcuni script mIRC che creano una backdoor utilizzabile per assumere il controllo della macchina in occasione di eventuali attacchi DOS (Denial of Service). "Al momento l'invio di file infetti non ha raggiunto lo stesso livello che abbiamo rilevato con alcuni dei virus più diffusi come VBS.LoveLetter e CodeRed", ha dichiarato Vincent Weafer, Senior Director di Symantec Security Response. "I clienti che utilizzano la funzionalità Symantec LiveUpdate per ricevere le definizioni dei virus più aggiornate sono già protetti da questa nuova minaccia". L'oggetto del messaggio email è "Hi.", mentre il testo recita "How are you? When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it!". Quando viene lanciato il documento allegato, Gone.scr, il worm modifica il registry cercando di cancellare i file relativi ai più diffusi prodotti anti-virus e personal firewall. Qualora tali file siano in uso e non possano quindi essere rimossi, il worm procederà alla creazione del file %SYSTEM%\Wininit.ini causando la cancellazione dei file desiderati in occasione del successivo riavvio del computer. Sul sito Symantec alle pagina http://securityresponse.symantec.com/ sono disponibili maggior approfondimenti e le istruzioni per la rimozione. Il servizio Symantec Web Security, accessibile all'indirizzo www.symantec.com/securitycheck, è stato aggiornato per controllare l'eventualità che un sistema sia vulnerabile a questo tipo di attacco. Symantec: Symantec Corporation (Nasdaq: SYMC), leader mondiale nella tecnologia per la sicurezza in Internet, offre alle aziende e ad utenti individuali una vasta gamma di soluzioni di content e network security. Symantec è il maggior fornitore di soluzioni per la protezione antivirus, di firewall e di virtual private network, per la verifica della vulnerabilità dei sistemi e per la rilevazione di intrusioni, per il filtro dei contenuti Internet e della posta elettronica, di tecnologie per gestione in remoto e servizi di sicurezza per l’utenza aziendale di tutto il mondo. Con sede centrale a Cupertino, in California, Symantec è operativa in oltre 37 paesi a livello mondiale. Per ulteriori informazioni su Symantec Corporation e i suoi prodotti è possibile visitare il Symantec Press Center sul sito Web di Symantec agli indirizzi www.symantec.it e www.symantec.com. Tutti i comunicati stampa sono disponibili al sito www.imageware.it