Informazioni Generali

Il Worm.Archivarius appartiene alla classe dei trojan-backdoor conosciuto anche come: Win32/Archivarius.worm.1470646, Worm/P2P.Agente.N, Worm/Delf.HEE, Backdoor.IRCBot.bci.Malware.CBQN, P2P-Worm.Win32.Archivarius.a, ed è in grado di infettare i sitemi Windows98,ME, NT, 2000, XP, Server 2003 .

Diffusione e Contagio

Sono molti gli utenti che utilizzano eMule per scaricare dalla Rete software illegale e relativi keygen. Proprio come nel caso di Archivarius, un’ insidiosa backdoor che si diffonde sui canali di file sharing pronta ad installarsi di nascosto sui nostri computer e consentire l’accesso non autorizzato a malintenzionati intenti a rubare informazioni sensibili. La caratteristica principale di questa nuova minaccia è il suo difficile riconoscimento preventivo, per via dell’infinita varietà di nomi attribuiti all’archivio compresso in formato .rar con cui viene diffuso il finto keygen.
L’unica certezza è che il contenuto dell’archivio sarà sempre un file eseguibile dal nome Installer-Crack-Keygen.exe che rappresenta il trojan vero e proprio. Una volta avviato, il trojan crea due file WinSecure.exe e NTSpool.exe nella cartella C:\WINDOWS\ System32. Quindi aggiunge due chiavi al registro di configurazione di Windows in modo da garantire l’esecuzione dei due file automaticamente ad ogni avvio di sistema operativo: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run“NTSpool.exe” = “c:\windows\system32\NTSpool.exe”
e
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run“WinSecure.exe” = “c:\windows\system32\WinSecure.exe”
Il file eseguibile WinSecure.exe altro non è che una copia fedele del trojan originale. Il file NTSpool.exe si occupa, invece, di aprire alcune porte di comunicazione (in gergo chiamate backdoor) per consentire possibili intrusioni da parte di malintenzionati nel computer vittima. Lo scopo dell’infezione è quello di creare una rete di computer zombie controllati da remoto ad insaputa dell’utente per mettere a segno un nuovo attacco. Il virus crea quindi nella directory Incoming di eMule una serie di archivi con estensione RAR di uguale contenuto e dimensione, ma con un’enorme
quantità di varianti di nomi che richiamano quelli dei software commerciali più diffusi e al cui interno dovrebbero trovarsi i rispettivi keygen.

Rimozione

1. Prima di iniziane clicchiamo con il tasto destro del mouse sull’ icona di “Rsorse del Computer” e dalla scheda ripristino configurazione sistema spuntiamo la voce “disabilita “Ripristino automatico del sistema”. In tal modo si impedisce al sistema di ripristinare al prossimo riavvio i file corrotti.
2. Nella sezione “Download Guide & Co” scaricare il software “Solo Avenger” ed il file “worm.Archivarius” dalla categoria “Virus”.
3. Installare ed avviare Avenger e dalla schermata principale selezionare “Load Script from File..” e selezionare il file txt worm.archivarius e togliere la spunta da “Scan for rootkits”.
4. Avviare la scansione e nel caso accettare di eseguire il riavvio del sistema.
5. Al riavvio entriamo su Start>Esegui e digitiamo “regedit”.
6. Andiamo su HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ed eliminiamo le chiavi ”NTSpool.exe” = “c:\windows\system32\NTSpool.exe” e ”WinSecure.exe” = “c:\windows\system32\WinSecure.exe”
7. Infine eliminiamo tutti gli archivi infetti dal nostro hard-disk.

Staff Aiutoinformatica.com

Sezione dedicata agli utenti registrati.