Scoperti: August 09, 2004
Aggiornato: February 13, 2007 12:27:26 PM
Va anche sotto il nome di: W32/Bagle.aq@MM [McAfee], WORM_BAGLE.AC [Trend Micro], Win32.Bagle.AG [Computer Assoc, W32/Bagle-AQ [Sophos], I-Worm.Bagle.al [Kaspersky]
Tipo: Worm
Sistemi operativi minacciati: Windows


W32.Beagle.AO@mm è un worm di distribuzione di massa che utilizza il proprio motore SMTP per propagarsi. L'allegato e-mail è un tool di scaricamento (downloader), simile alla famiglia di cavalli di troia Mitglieder, che scarica il worm da una origine esterna.

Il worm contiene anche una funzionalità backdoor, che apre le porte TCP 80 e UDP 80.

Nota: Per rilevare questa infezione sono necessarie le definizioni dei virus versione 60809aj (versione estesa 9/8/2004 rev. 36) e successive. Le corrispondenti definizioni LiveUpdate contenenti la protezione contro questa minaccia sono quelle versione 60809ak (9/8/2004 rev. 37).

Date protezione antivirus

  • Versione iniziale Rapid Release August 09, 2004
  • Ultima versione Rapid Release September 28, 2017 revisione 037
  • Versione iniziale Daily Certified August 09, 2004
  • Ultima versione Daily Certified September 29, 2017 revisione 001
  • Data rilascio Weekly Certified iniziale August 09, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Scoperti: August 09, 2004
Aggiornato: February 13, 2007 12:27:26 PM
Va anche sotto il nome di: W32/Bagle.aq@MM [McAfee], WORM_BAGLE.AC [Trend Micro], Win32.Bagle.AG [Computer Assoc, W32/Bagle-AQ [Sophos], I-Worm.Bagle.al [Kaspersky]
Tipo: Worm
Sistemi operativi minacciati: Windows


Quando W32.Beagle.AO@mm viene eseguito si comporta nel modo seguente:

  1. Copia se stesso come %System%\WINdirect.exe.

    Nota: %System% è una variabile. il cavallo di troia individua la cartella System e si replica in tale posizione. Per impostazione predefinita questa cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).
  2. Aggiunge il valore:

    "win_upd2.exe"="%System%\WINdirect.exe"

    alle chiavi di registro:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    in modo da essere eseguito ad ogni avvio di Windows.
  3. Crea il file %System%\_dll.exe e lo introduce come thread in un processo denominato "Shell_TrayWnd". Se l'operazione riesce, questa minaccia continuerà ad essere eseguita all'interno del processo infetto. Tutte le azioni descritte nei passi successivi sembreranno eseguite dal processo infetto, e il cavallo di troia non sarà visibile quando si esamina l'elenco dei processi in Windows Task Manager.
  4. Termina i seguenti processi:
    • ATUPDATER.EXE
    • ATUPDATER.EXE
    • AUPDATE.EXE
    • AUTODOWN.EXE
    • AUTOTRACE.EXE
    • AUTOUPDATE.EXE
    • AVPUPD.EXE
    • AVWUPD32.EXE
    • AVXQUAR.EXE
    • AVXQUAR.EXE
    • CFIAUDIT.EXE
    • DRWEBUPW.EXE
    • ESCANH95.EXE
    • ESCANHNT.EXE
    • FIREWALL.EXE
    • ICSSUPPNT.EXE
    • ICSUPP95.EXE
    • LUALL.EXE
    • MCUPDATE.EXE
    • NUPGRADE.EXE
    • NUPGRADE.EXE
    • OUTPOST.EXE
    • UPDATE.EXE
    • sys_xp.exe
    • sysxp.exe
    • winxp.exe

  5. Tenta di scaricare ed eseguire file dai seguenti siti Web come %Windir%\~.exe:
    • 134.102.228.45
    • 196.12.49.27
    • 213.188.129.72
    • 64.62.172.118
    • abi-2004.org
    • advm1.gm.fh-koeln.de
    • alexey.pioneers.com.ru
    • alfinternational.ru
    • aus-Zeit.com
    • binn.ru
    • burn2k.ipupdater.com
    • carabi.ru
    • catalog.zelnet.ru
    • cavalierland.5u.com
    • celine.artics.ru
    • change.east.ru
    • colleen.ai.net
    • controltechniques.ru
    • dev.tikls.net
    • diablo.homelinux.com
    • dodgetheatre.com
    • dozenten.f1.fhtw-berlin.de
    • emnesty.w.interia.pl
    • emnezz.e-mania.pl
    • euroviolence.com
    • evadia.ru
    • fairy.dataforce.net
    • financial.washingtonpost.com
    • free.bestialityhost.com
    • gutemine.wu-wien.ac.at
    • herzog.cs.uni-magdeburg.de
    • home.profootball.ru
    • host.businessweek.com
    • host.wallstreetcity.com
    • host23.ipowerweb.com
    • hsr.zhp.org.pl
    • infokom.pl
    • kafka.punkt.pl
    • kooltokyo.ru
    • kypexin.ru
    • lars-s.privat.t-online.de
    • lottery.h11.ru
    • matzlinger.com
    • megion.ru
    • mmag.ru
    • molinero-berlin.de
    • momentum.ru
    • niebo.net
    • nominal.kaliningrad.ru
    • omegat.ru
    • ourcj.com
    • packages.debian.or.jp
    • pb195.slupsk.sdi.tpnet.pl
    • photo.gornet.ru
    • pixel.co.il
    • pocono.ru
    • polobeer.de
    • porno-mania.net
    • protek.ru
    • przeglad-tygodnik.pl
    • przeglad-tygodnik.pl
    • quotes.barchart.com
    • r2626r.de
    • rausis.latnet.lv
    • relay.great.ru
    • republika.pl
    • sacred.ru
    • sbuilder.ru
    • sec.polbox.pl
    • shadkhan.ru
    • silesianet.pl
    • silesianet.pl
    • slavarik.ru
    • sovea.de
    • spbbook.ru
    • strony.wp.pl
    • szm.sk
    • tarkosale.net
    • tdi-router.opola.pl
    • terramail.pl
    • thorpedo.us
    • traveldeals.sidestep.com
    • ultimate-best-hgh.0my.net
    • vip.pnet.pl
    • werel1.web-gratis.net
    • www.5100.ru
    • www.PlayGround.ru
    • www.aannemers-nederland.nl
    • www.abcdesign.ru
    • www.airnav.com
    • www.aktor.ru
    • www.ankil.ru
    • www.antykoncepcja.net
    • www.aphel.de
    • www.artics.ru
    • www.astoria-stuttgart.de
    • www.avant.ru
    • www.baltmatours.com
    • www.baltnet.ru
    • www.biratnagarmun.org.np
    • www.biysk.ru
    • www.boglen.com
    • www.bridesinrussia.com
    • www.busheron.ru
    • www.ccbootcamp.com
    • www.chat4adult.com
    • www.chelny.ru
    • www.ciachoo.pl
    • www.dami.com.pl
    • www.ddosers.net
    • www.dicto.ru
    • www.dilver.ru
    • www.dsmedia.ru
    • www.dynex.ru
    • www.elemental.ru
    • www.elit-line.ru
    • www.epski.gr
    • www.forbes.com
    • www.free-time.ru
    • www.gamma.vyborg.ru
    • www.gantke-net.com
    • www.gin.ru
    • www.glass-master.ru
    • www.glavriba.ru
    • www.gradinter.ru
    • www.hack-gegen-rechts.com
    • www.hbz-nrw.de
    • www.hgr.de
    • www.hgrstrailer.com
    • www.ifa-guide.co.uk
    • www.iluminati.kicks-ass.net
    • www.infognt.com
    • www.intellect.lvc
    • www.interfoodtd.ru
    • www.interrybflot.ru
    • www.inversorlatino.com
    • www.jewishgen.org
    • www.k2kapital.com
    • www.kefaloniaresorts.com
    • www.lamatec.com
    • www.landofcash.net
    • www.laserbuild.ru
    • www.math.kobe-u.ac.jp
    • www.mcschnaeppchen.com
    • www.mdmedia.org
    • www.met.pl
    • www.metacenter.ru
    • www.milm.ru
    • www.myrtoscorp.com
    • www.nefkom.net
    • www.neostrada.pl
    • www.neprifan.ru
    • www.netradar.com
    • www.no-abi2003.de
    • www.oldtownradio.com
    • www.omnicom.ru
    • www.oshweb.com
    • www.pakwerk.ru
    • www.perfectgirls.net
    • www.perfectjewel.com
    • www.peterstar.ru
    • www.pgipearls.com
    • www.phg.pl
    • www.porsa.ru
    • www.porta.de
    • www.rafani.cz
    • www.rastt.ru
    • www.republika.pl
    • www.republika.pl
    • www.rollenspielzirkel.de
    • www.rubikon.pl
    • www.rumbgeo.ru
    • www.rweb.ru
    • www.scli.ru
    • www.sdsauto.ru
    • www.sensi.com
    • www.silesianet.pl
    • www.sjgreatdeals.com
    • www.sposob.ru
    • www.strefa.pl
    • www.tanzen-in-sh.de
    • www.taom-clan.de
    • www.tayles.com
    • www.teatr-estrada.ru
    • www.teleline.ru
    • www.thepositivesideofsports.com
    • www.timelessimages.com
    • www.tuhart.net
    • www.vconsole.net
    • www.vendex.ru
    • www.virtmemb.com
    • www.vivamedia.ru
    • www.vrack.net
    • www.wapf.com
    • www.webpark.pl
    • www.webronet.com
    • www.webzdarma.cz
    • www.yarcity.ru
    • www.youbuynow.com
    • www.zeiss.ru
    • www.zelnet.ru
    • www.zhp.gdynia.pl
    • wynnsjammer.proboards18.com
    • yaguark.h10.ru

      Nota: %Windir% è una variabile. Il cavallo di troia individua la cartella di installazione di Windows e salva i file scaricati in questa posizione. Per impostazione predefinita, la cartella è C:\Windows o C:\Winnt
  6. Crea sette mutex denominati con i nomi seguenti che impediscono l'esecuzione di alcune varianti di W32.Netsky@mm:
    • MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
    • 'D'r'o'p'p'e'd'S'k'y'N'e't'
    • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
    • [SkyNet.cz]SystemsMutex
    • AdmSkynetJklS003
    • ____--->>>>U<<<<--____
    • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
  7. Crea i file:
    • %System%\windll.exe.
    • %System%\windll.exeopen (una copia del worm con dati aggiunti a caso)
    • %System%\windll.exeopenopen (una copia del worm con dati aggiunti a caso)
    • %System%\re_file.exe
  8. Aggiunge il valore:

    "erthgdr"="%System%\windll.exe"

    alla chiave del Registro di sistema:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  9. Elimina i valori che contengono le stringhe seguenti:
    • 9XHtProtect
    • Antivirus
    • EasyAV
    • FirewallSvr
    • HtProtect
    • ICQ Net
    • ICQNet
    • Jammer2nd
    • KasperskyAVEng
    • MsInfo
    • My AV
    • NetDy
    • Norton Antivirus AV
    • PandaAVEngine
    • SkynetsRevenge
    • Special Firewall Service
    • SysMonXP
    • Tiny AV
    • Zone Labs Client Ex
    • service

      dalle chiavi di registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  10. Tenta di creare copie di se stesso in ogni cartella del computer infetto che contiene i caratteri "shar." I file avranno i nomi file seguenti:
    • Microsoft Office 2003 Crack, Working!.exe
    • Microsoft Windows XP, WinXP Crack, working Keygen.exe
    • Microsoft Office XP working Crack, Keygen.exe
    • Porno, sex, oral, anal cool, awesome!!.exe
    • Porno Screensaver.scr
    • Serials.txt.exe
    • KAV 5.0
    • Kaspersky Antivirus 5.0
    • Porno pics arhive, xxx.exe
    • Windows Sourcecode update.doc.exe
    • Ahead Nero 7.exe
    • Windown Longhorn Beta Leak.exe
    • Opera 8 New!.exe
    • XXX hardcore images.exe
    • WinAmp 6 New!.exe
    • WinAmp 5 Pro Keygen Crack Update.exe
    • Adobe Photoshop 9 full.exe
    • Matrix 3 Revolution English Subtitles.exe
    • ACDSee 9.exe
  11. Cerca indirizzi e-mail nei file con le seguenti estensioni:
    • .adb
    • .asp
    • .cfg
    • .cgi
    • .dbx
    • .dhtm
    • .eml
    • .htm
    • .jsp
    • .mbx
    • .mdx
    • .mht
    • .mmf
    • .msg
    • .nch
    • .ods
    • .oft
    • .php
    • .pl
    • .sht
    • .shtm
    • .stm
    • .tbb
    • .txt
    • .uin
    • .wab
    • .wsh
    • .xls
    • .xml
  12. Utilizza il proprio motore SMTP per inviarsi a tutti gli indirizzi di posta elettronica trovati.

    Le caratteristiche del messaggio di e-mail sono le seguenti:

    Da: <mascherato> 

    Oggetto: <vuoto>

    Corpo del messaggio: New price

    Allegato: (Uno dei seguenti)
    • 08_price.zip
    • new__price.zip
    • new_price.zip
    • newprice.zip
    • price.zip
    • price2.zip
    • price_08.zip
    • price_new.zip

      Nota: Il file .zip contiene il file Price.html e un file eseguibile con lo stesso nome del file .zip. Questo è l'eseguibile responsabile del download del componente "mailer". Nel codice è presente un meccanismo di protezione del file .zip tramite password, ma a causa di non errore non funziona.
  13. Il worm non si invia agli indirizzi contenenti una qualsiasi delle stringhe seguenti:
    • @avp.
    • @foo
    • @iana
    • @messagelab
    • @microsoft
    • abuse
    • admin
    • anyone@
    • bsd
    • bugs@
    • cafee
    • certific
    • contract@
    • feste
    • free-av
    • f-secur
    • gold-certs@
    • google
    • help@
    • icrosoft
    • info@
    • kasp
    • linux
    • listserv
    • local
    • news
    • nobody@
    • noone@
    • noreply
    • ntivi
    • panda
    • pgp
    • postmaster@
    • rating@
    • root@
    • samples
    • sopho
    • spam
    • support
    • unix
    • update
    • winrar
    • winzip
  14. Apre una backdoor sulle porte TCP 80 e UDP 80, che permette di utilizzare il computer infetto per la diffusione tramite posta elettronica.

    Crea la seguente chiave di registro:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n


Symantec Gateway Security Serie 2.0
Symantec Gateway Security 1.0 - Serie 5300
  • Componente antivirus: È attualmente disponibile un aggiornamento per il motore AntiVirus di Symantec Gateway Security per attivare la protezione contro W32.Beagle.AO@mm. Si consiglia agli utenti di Symantec Gateway Security Serie 5000 di eseguire LiveUpdate.
  • Componente firewall per il controllo completo dell'applicazione: Per caratteristica predefinita, la tecnologia firewall di controllo completo dell'applicazione di Symantec protegge contro la diffusione del worm W32.Beagle.AO@mm, impedendo agli aggressori di accedere alle porte backdoor TCP/80 e UDP/80 dei sistemi infetti. Si consiglia agli amministratori di verificare che le politiche di sicurezza non siano state modificate per consentire l'entrata sulla porta UDP 80 e per assicurare che l'ingresso sulla porta TCP 80 sia ristretto al server web.
  • Quando si configura la regola SMTP creata sul gateway per la sicurezza mediante la procedura guidata delle politiche, si impedisce ai sistemi infetti di inviare direttamente le e-mail in Internet.

Symantec Enterprise Firewall 8.0
Per caratteristica predefinita, la tecnologia firewall di controllo completo dell'applicazione di Symantec protegge contro la diffusione del worm W32.Beagle.AO@mm, impedendo agli aggressori di accedere alle porte backdoor TCP/80 e UDP/80 dei sistemi infetti. Si consiglia agli amministratori di verificare che le politiche di sicurezza non siano state modificate per consentire l'entrata sulla porta UDP 80 e per assicurare che l'ingresso sulla porta TCP 80 sia ristretto al server web.

Quando si configura la regola SMTP creata sul gateway per la sicurezza mediante la procedura guidata delle politiche, si impedisce ai sistemi infetti di inviare direttamente le e-mail in Internet.

Symantec Enterprise Firewall 7.0.x
Symantec VelociRaptor 1.5
Per caratteristica predefinita, la tecnologia firewall di controllo completo dell'applicazione di Symantec protegge contro la diffusione del worm W32.Beagle.AO@mm, impedendo agli aggressori di accedere alle porte backdoor TCP/80 e UDP/80 dei sistemi infetti. Si consiglia agli amministratori di verificare che le politiche di sicurezza non siano state modificate per consentire l'entrata sulla porta UDP 80 e per assicurare che l'ingresso sulla porta TCP 80 sia ristretto al server web.

Quando si configura la regola SMTP creata sul gateway per la sicurezza mediante la procedura guidata SMTP usando le impostazioni predefinite, si impedisce ai sistemi infetti di inviare direttamente le e-mail in Internet.

Symantec Clientless VPN Gateway Serie 4400
Symantec Clientless VPN Gateway v5.0 non viene colpito da questa minaccia. Per ridurre il rischio di un'ulteriore propagazione dell'infezione è necessario includere una regola che consenta l'accesso al server di posta interno solo ad utenti remoti autenticati.

Symantec Gateway Security 300 Series
Per impostazione predefinita, la tecnologia firewall di ispezione Symantec impedisce agli aggressori di accedere alle porte backdoor TCP 80 e UDP 80 dei computer infetti. Si consiglia agli amministratori di verificare che le politiche di sicurezza non siano state modificate per consentire l'entrata sulla porta UDP 80 e per assicurare che l'ingresso sulla porta TCP 80 sia ristretto al server web. Si consiglia inoltre di utilizzare la funzionalità Avpe di SGS serie 300 per assicurarsi che i client dispongano delle definizioni dei virus aggiornate.

Symantec Firewall/VPN Serie 100/200
Per impostazione predefinita, la tecnologia firewall di ispezione Symantec impedisce agli aggressori di accedere alle porte backdoor TCP 80 e UDP 80 dei computer infetti. Si consiglia agli amministratori di verificare che le politiche di sicurezza non siano state modificate per consentire l'entrata sulla porta UDP 80 e per assicurare che l'ingresso sulla porta TCP 80 sia ristretto al server web.

Consigli

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Scoperti: August 09, 2004
Aggiornato: February 13, 2007 12:27:26 PM
Va anche sotto il nome di: W32/Bagle.aq@MM [McAfee], WORM_BAGLE.AC [Trend Micro], Win32.Bagle.AG [Computer Assoc, W32/Bagle-AQ [Sophos], I-Worm.Bagle.al [Kaspersky]
Tipo: Worm
Sistemi operativi minacciati: Windows


Rimozione mediante lo strumento di rimozione di W32.Beagle@mm
Symantec Security Response ha reso disponibile uno strumento di rimozione per eliminare le infezioni causate da W32.Beagle.AO@mm.
Trattandosi del metodo più semplice per eliminare il worm, consigliamo di procedere in primo luogo mediante questo strumento.

Rimozione manuale
Le presenti istruzioni sono valide per tutti gli antivirus Symantec più recenti, compresi i prodotti delle linee Symantec AntiVirus e Norton AntiVirus.

    1. Disattivare Opzione Ripristino configurazione di sistema (Windows Me/XP).
    2. Aggiornare le definizioni dei virus.
    3. Riavviare il computer in modalità provvisoria o VGA.
    4. Operare una scansione completa del sistema ed eliminare tutti i file rilevati come W32.Beagle.AO@mm.
    5. Eliminare il valore aggiunto dal worm al Registro di sistema.
Proseguire nella lettura per ottenere istruzioni dettagliate su come procedere.

1. Disattivazione di Ripristino configurazione di sistema (Windows Me/XP)
Se si utilizza Windows Me o Windows XP, disattivare temporaneamente Ripristino configurazione di sistema. Questa funzionalità, attivata per impostazione predefinita, viene utilizzata da Windows Me/XP per ripristinare sul computer file che sono stati danneggiati. Quando una macchina contrae un virus, un worm o un cavallo di Troia, è possibile che Ripristino configurazione di sistema crei una copia di backup di tali codici nocivi sul computer.

Per impostazione predefinita Windows impedisce che Ripristino configurazione di sistema venga modificato da programmi esterni, compresi gli antivirus. Pertanto, i programmi antivirus o gli strumenti di rimozione non sono in grado di rimuovere alcun elemento dalla cartella Ripristino configurazione di sistema. Ripristino configurazione di sistema potrebbe quindi ripristinare un file infetto sul computer anche dopo che sono stati eliminati i file infetti da tutte le altre posizioni.

La scansione alla ricerca di virus potrebbe inoltre rilevare la minaccia nella cartella Ripristino configurazione di sistema anche dopo avere eseguito la rimozione del codice nocivo.

Per istruzioni su come disabilitare la funzione Ripristino configurazione di sistema, consultare la documentazione di Windows o uno dei seguenti documenti:
Nota: Al termine della procedura di rimozione, quando si è certi di avere rimosso la minaccia virale, riattivare Ripristino della configurazione di sistema seguendo le istruzioni contenute nei documenti precedentemente indicati.


Se si desiderano ulteriori informazioni o se non si intende disattivare Ripristino configurazione di sistema di Windows Me consultare il documento (in inglese) del Knowledge Base Microsoft "Impossibile ripulire i file infetti nella cartella _Restore con lo strumento antivirus", numero: I263455.

2. Aggiornamento delle definizioni dei virus
Symantec Security Response esegue controlli e test accurati sulla qualità delle definizioni dei virus prima di renderli disponibili sui server Symantec. È possibile ottenere le definizioni dei virus più aggiornate in due modi:
    • Il metodo più semplice per ottenere le definizioni dei virus è tramite LiveUpdate. Tali definizioni vengono pubblicate sui server di LiveUpdate una volta la settimana (normalmente di mercoledì), tranne in caso di epidemie virali di particolare rilevanza. Per verificare se sono disponibili definizioni per LiveUpdate contro tale minaccia, controllare la riga Definizioni dei virus (LiveUpdate).
    • Scaricare le definizioni mediante Intelligent Updater. Le definizioni dei virus per Intelligent Updater vengono pubblicate quotidianamente, nei giorni lavorativi statunitensi (dal lunedì al venerdì). Tali definizioni devono essere scaricate e installate manualmente dal sito Internet di Symantec Security Response. Per verificare se sono disponibili definizioni per Intelligent Updater contro tale minaccia, controllare la riga Definizioni dei virus (Intelligent Updater).

3. Riavvio del computer in Modalità provvisoria o VGA

Spegnere il computer e togliere l'alimentazione. Attendere almeno 30 secondi, quindi riavviare il computer in modalità provvisoria o VGA.
  • Windows 95, 98, Me, 2000 o XP: riavviare il computer in Modalità provvisoria. Per istruzioni sulla procedura da seguire, consultare il documento Come avviare il computer in Modalità provvisoria.
  • Windows NT 4: riavviare il computer in modalità VGA.

4. Scansione e rimozione dei file infetti
  1. Avviare il proprio antivirus Symantec e accertarsi che sia configurato per sottoporre a scansione tutti i file.
  2. Eseguire una scansione completa del sistema.
  3. Se vengono rilevati file infetti da W32.Beagle.AO@mm, fare clic su Elimina.

    Nota: se il prodotto antivirus Symantec segnala che è impossibile eliminare un file infetto, è possibile che questo file sia attualmente utilizzato da Windows. Per risolvere il problema, eseguire una scansione in modalità provvisoria. Per istruzioni consultare il documento "Come avviare il computer in modalità provvisoria". Dopo aver riavviato in modalità provvisoria, eseguire nuovamente la scansione.

    (Una volta eliminati i file, lasciare il computer in modalità provvisoria e proseguire con la sezione 4. Al termine riavviare il computer in modalità normale).

5. Eliminazione del valore dal registro


ATTENZIONE: Prima di modificare il registro di sistema si raccomanda vivamente di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati e danni irreversibili ai file. Modificare unicamente le chiavi specificate. A questo proposito, consultare il documento Come eseguire il backup del Registro di sistema di Windows .

    1. Fare clic su Start, quindi su Esegui. Viene visualizzata la finestra di dialogo Esegui.
    2. Digitare regedit

      Fare clic su OK.
    3. Individuare la chiave:
      1. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    4. Eliminare il seguente valore nel riquadro di destra:

      "erthgdr" = "%System%\windll.exe"
    5. Andare alle chiavi seguenti:
      1. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    6. Nel riquadro destro, eliminare i valori:

      "win_upd2.exe"="%System%\WINdirect.exe"
    7. "erthgdr" = "%System%\windll.exe"
    8. Andare alla chiave:

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
    9. Nel riquadro sinistro, eliminare la sottochiave Ru1n.
    10. Uscire dall'Editor del Registro di sistema.