www.MegaLab.it

Sta causando una certa agitazione in Rete il nuovo virus/worm "Ramex.A" (anche noto come "Skipi.A", "Pykspa.D"), un malware che utilizza le funzionalità di comunicazione offerte da Skype per auto-replicarsi su quanti più sistemi è possibile.

Una volta "dentro" al sistema, il programma sfrutta le Application Program Interface (API) di Skype per interfacciarsi con il celeberrimo programma di comunicazione vocale ed iniziare una sessione di chat con ognuno dei contatti presenti nella lista. Il testo del messaggio, di cui sono state avvistate decine di varianti (tutte comunque in lingua inglese), invita l'utente a scaricare un file eseguibile (.src) dal web, camuffato da innocua immagine jpeg.

Una volta aperto, il worm striscia all'interno del computer e ricomincia il processo di replicazione in maniera ricorsiva.

Come proteggersi

La raccomandazione è sempre e comunque la stessa, indipendentemente che si tratti di messaggi recapitati via posta elettronica, messaggistica istantanea o quant'altro: trattare tutti i file con la massima diffidenza (possibilmente passando al vaglio di VirusTotal qualisasi documento proveniente dall'esterno) e, quando possibile, evitare di collegarsi a siti web sconosciuti.

Importantissimo inoltre mantenere sempre aggiornato il proprio antivirus: ad oggi praticamente tutte le maggiori software house hanno rilasciato definizioni antivirali aggiornate, in grado di riconoscere quantomeno le principali varianti del virus.

Come ripulirsi

In caso si sospetti che il sistema sia già compromesso, è opportuno tentare di eseguire una pulizia automatizzata mediante il proprio antivirus. In caso l'operazione fallisse, è possibile tentare di rimuovere il bacillo manualmente: dopo aver riavviato il sistema in modalità provvisoria, dovrebbe essere sufficiente eliminare i file wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe ed sdrivew32.exe dalla cartella WindowsSystem32 e ripulire quindi mediante notepad il file Windowssystem32driversetchosts da tutte le righe sospette.