Una mail che potrebbe arrivare, con mittente “Daniela” o “daniela81@pro-email.it“; l’oggetto della mail è “Foto notte di ferragosto“. La mail ha come testo:

“Che vergogna!!! Ma ero proprio io quella… Condizioni disastrose… L’alcool disinibisce : ) Ci sono un paio di foto che devi cancellare… Bacini“.

E’ inoltre presente un allegato in formato ZIP da circa 60KB con nome “ferragosto.zip”.
Questa mail è un virus con attivazione manuale. Mi spiego meglio: per esere infettati dovete aprire la mail, aprire l’allegato e fare doppio click all’interno del file zip sul file “foto.exe“. A questo punto sarete infetti!

Il virus (se così lo si può chiamare) si “installa” all’interno di “C:\Windows\System32\Winsystem” e crea collegamenti all’eseguibile sul desktop, nel menu Start, nell’avvio veloce. Inoltre parte un processo che tenterà di prendere il collegamento del client di posta (Outlook) per inviarsi ai destinatari della rubrica. Per finire la pagina di default di internet explorer punterà ad un sito pornografico.
Se vedete la mail arrivare cancellatela senza indugio (anche se conoscete una persona che si chiama Daniela, scusa data da tutte le persone che ho dovuto “ripulire”). Se invede avete già fatto click sul file foto.exe siete infetti…

Per fare pulizia seguite i punti qui sotto

Piccola nota: ho ripulito quattro cinque sei 8 persone e purtroppo ogni tanto il modo di infezione cambia… Qui vedete il più comunne.

Disclaimer: non sono responsabile per eventuali disastri dovuti a errori nella pulizia del virus, se non vi sentite sicuri chiamate qualcuno che ci sappia fare!!

• Cancellare l’icona che vi è comparsa sul desktop
• Cancellare la stessa icona dal menu Start
• Se non ci sono le icone dell’avvio veloce vicino al pulsante start attivarle (click col destro sulla barra del menu start/barre degli strumenti/avvio veloce), cercare l’icona del file, click col destro e poi elimina.
• Aprire la cartella C:\Windows\System32\Winsystem e guardate come si chiama il file al suo interno (ricordatevelo!!)
• Aprire il task manager (Ctrl + Shift + Esc) e nella scheda “processi” cercate il file visto prima
• Un click per selezionarlo e poi click su “Termina processo”. Rispondere Ok alla richiesta
• Cancellate la cartella Winsystem che si trova in C:\Windows\System32
• Aprite Internet Explorer e modificate la Home Page (Strumenti/Opzioni e poi mettere la pagina che volete voi) eliminando ricercaclick.com
• Scaricate HiJackThis (attenzione! se usato male, questo programma vi potrebbe mandare a pallino tutto il pc!!) e fate fare la scansione.
• Eliminate tutte le voci che riportano il nome del file appena cancellato (2 o 3)
• Adesso dovreste essere a posto e ricordate: non fate i polli e non aprite allegati di origni sconosciute!!!