Istruzioni per la disinfezione di VBS/Kakworm
Come posso evitare che il mio computer venga infettato?
È possibile proteggere il computer da VBS/Kakworm (e da virus simili) scaricando la patch dal Bollettino sulla sicurezza MS99-032 di Microsoft: http://www.microsoft.com/technet/security/bulletin/ms99-032.asp.
La patch deve essere installata prima della disinfezione, al fine di evitare infezioni future.
Sophos Anti-Virus per Windows 95/98/Me ha rilevato il virus VBS/Kakworm sul mio computer. Cosa devo fare?
VBS/Kakworm crea una serie di file che possono essere individuati e rimossi utilizzando Sophos Anti-Virus.
Sulla barra delle applicazioni di Windows, selezionare Start|Programmi|Sophos Anti-Virus|Sophos Anti-Virus. Sarà visualizzata la schermata di Sophos Anti-Virus.
Nella finestra in cui sono elencate le unità del computer, cercare C:\. Controllare che la spia luminosa sulla sinistra di C:\ sia accesa. Se necessario, cliccare su di essa per farla diventare verde.
Controllare che il tipo di file sia impostato su "eseguibile". In caso contrario, cliccare il pulsante Modifica e sotto Tipi di file selezionare Eseguibili.Cliccare su OK.
Ora istruire Sophos Anti-Virus sulla procedura da seguire in caso di file infetti. Sulla barra dei menu selezionare Opzioni, quindi Configurazione.
Sarà visualizzata la schermata relativa alla configurazione, su cui sono presenti tre schede. Selezionare la scheda Azione.
Spuntare Disinfetta boot sector, Disinfetta documenti e File infetti. Sotto File infetti selezionare l'azione Cancella. Cliccare su OK per tornare alla schermata principale.
Sulla schermata principale di Sophos Anti-Virus, cliccare sul pulsante GO (vai).
Sophos Anti-Virus controlla la presenza di virus sul computer.
Quando vengono rilevati oggetti infetti, viene richiesto di eliminare i file.Sarà possibile eliminare tranquillamente tutti i file infettati da BS/Kakworm, poiché è stato lo stesso VBS/Kakworm a creare i file: non si diffonde da file a file ma da computer a computer attraverso le e-mail (è un "worm"). Se si rileva un frammento di virus VBS/Kakworm o Mid/Kakworm non eliminarlo, ma contattare il Supporto tecnico di Sophos.
Il computer è ora disinfettato.
Tornare alla scheda Azione e togliere il segno di spunta ai File infetti.Ciò impedisce l'eliminazione dei documenti che potrebbero essere disinfettati.
Come posso ripristinare le impostazioni modificate da VBS/Kakworm?
VBS/Kakworm apporta le seguenti modifiche:
- Crea voci di registro che si riferiscono a un file nella directory C:\WINDOWS\SYSTEM chiamata xxxxxxxx.HTA, dove xxxxxxxx sono caratteri casuali:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunTali voci possono essere eliminate utilizzando REGEDIT. Non eseguire questa operazione se non si conosce l'utilizzo di REGEDIT.
- Copia il file C:\AUTOEXEC.BAT in un altro chiamato C:\AE.KAK e aggiunge le seguenti righe al file AUTOEXEC.BAT (o lo sovrascrive):
@echo off>C:\Windows\STARTM~1\Programs\StartUp\kak.hta
del C:\Windows\STARTM~1\Programs\StartUp\kak.htaTali righe possono essere eliminate utilizzando un editor. In alternativa, è possibile rinominare C:\AE.KAK in C:\AUTOEXEC.BAT, sebbene le modifiche apportate a AUTOEXEC.BAT da quando il computer è stato infettato andranno perse.
- Sostituisce la firma di Outlook con un collegamento a C:\WINDOWS\KAK.HTM
Tale collegamento può essere rimosso utilizzando Outlook Express. Selezionare "Opzioni..." dal menu "Strumenti", quindi selezionare la scheda "Firme". Evidenziare il collegamento C:\WINDOWS\KAK.HTM e rimuoverlo.
