Nel pomeriggio mi chiama un cliente, e mi segnala che all'accensione del pc gli compare una fotografia strana e, quando la chiude, si ritrova il desktop ricoperto di almeno una cinquantina di finestrelle inutili che tendono a non chiudersi facilmente.Arrivo li, e mi trovo davanti a un fotomontaggio fra Rowan Atkinsons e Bin Laden, ma noto che e' anche aperta una finestra di MS-DOS (intitolata "Windows Update") che ha avviato un'improbabile "abc.jpg" e - prima di chiudere l'immagine decido di chiudere quella finestra DOS.
A questo punto segue la solita analisi del registro: sulla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run trovo un oggetto intitolato "Windows Update" che lancia "C:\Windows\abc.bat"...
Il gioco si fa interessante, per cui apro la cartella windows e noto, con piacere, che i due file abc.bat e abc.jpg sono nascosti. Clicko su abc.bat e scelgo "Modifica": a questo punto sono curioso.
Il file bat contiene solo tre righe:
abc.jpg
Nevrosi.exe
Nevrosi.exe
Giro per la Windows e trovo anche il file "Nevrosi.exe", il quale ovviamente e' anch'esso nascosto. Lo faccio analizzare dall'antivirus, ma non mi segnala niente di che; il buon Google fornisce pochissime informazioni, recenti e - soprattutto - quelle piu' complete sono in tedesco, per cui mi auguro che questo mio articolo possa aiutare qualcuno a capire di questa infezione fresca fresca.
3 commenti:
Nevrosi.exe è un piccolo scherzo che girava già qualche tempo fa... non fa altro che aprire un centinaio di messagebox... è come quelli che ti ingrandiscono il puntatore o quelli che lo fanno tremare... :D
alcuni antivirus li riconsocono nella categoria WIN32.JOKE, ma non tutti...
Si, ma in virtu' del fatto che gli e' arrivato e si e' installato senza specifica interazione dell'utente, a mio parere rientra comunque nella categoria dei malware.
Inoltre il file non apriva messagebox ma finestre con banner pornografici. (-:
(wow, ho cercato "nevrosi.exe" su google e questa pagina e' il primo risultato ahahah!)
Posta un commento