Cos'è W32.Zimuse
W32.Zimuse è un worm che, cancellando l'MBR del disco fisso di un PC, non consente l'avvio del sistema operativo nè un agevole recupero dei dati.
Si diffonde tramite le memorie USB (pendrive o HD esterni) oppure tramite il download da alcuni siti, di un file con estensione .zip presentato ingannevolmente come test di valutazione del quoziente d'intelligenza (QI).
Ne esistono due varianti: W32.Zimuse.A e W32.Zimuse.B la cui unica differenza è che quest'ultimo si attiva in 7 giorni, mentre al primo occorrono tre giorni in più prima di autoclonarsi al fine di diffondersi via USB.
Dopo una latenza di altri 20 o 40 giorni (in base alla variante del malware) il worm scatena tutta la sua virulenza creando messaggi di errore a video, scaricando e creando files contenenti codice malevolo, modificando il registro di configurazione del sistema operativo e attivando nuovi servizi di supporto alla sua attività malevola. Addirittura verrà creata una cartella in C:\ dedicata al sedicente programma per testare il QI. Infine, il worm farà apparire a video un messaggio di errore che invita l'ignaro malcapitato utilizzatore del PC a riavviarlo poichè un file di sistema risulta corrotto (a causa della ricezione di un pacchetto IP da internet o qualcosa di simile) . Invece, lo scopo subdolo è quello di cancellare irreparabilmente l'MBR, il master boot record, impedendo l'avvio del sistema operativo e la lettura della tabella di allocazione dei files, una sorta di indice che fornisce al computer il posizionamento dei files nel disco fisso.
Procedura di rimozione di W32.Zimuse
W32.Zimuse è un worm che, cancellando l'MBR del disco fisso di un PC, non consente l'avvio del sistema operativo nè un agevole recupero dei dati.
Si diffonde tramite le memorie USB (pendrive o HD esterni) oppure tramite il download da alcuni siti, di un file con estensione .zip presentato ingannevolmente come test di valutazione del quoziente d'intelligenza (QI).
Ne esistono due varianti: W32.Zimuse.A e W32.Zimuse.B la cui unica differenza è che quest'ultimo si attiva in 7 giorni, mentre al primo occorrono tre giorni in più prima di autoclonarsi al fine di diffondersi via USB.
Dopo una latenza di altri 20 o 40 giorni (in base alla variante del malware) il worm scatena tutta la sua virulenza creando messaggi di errore a video, scaricando e creando files contenenti codice malevolo, modificando il registro di configurazione del sistema operativo e attivando nuovi servizi di supporto alla sua attività malevola. Addirittura verrà creata una cartella in C:\ dedicata al sedicente programma per testare il QI. Infine, il worm farà apparire a video un messaggio di errore che invita l'ignaro malcapitato utilizzatore del PC a riavviarlo poichè un file di sistema risulta corrotto (a causa della ricezione di un pacchetto IP da internet o qualcosa di simile) . Invece, lo scopo subdolo è quello di cancellare irreparabilmente l'MBR, il master boot record, impedendo l'avvio del sistema operativo e la lettura della tabella di allocazione dei files, una sorta di indice che fornisce al computer il posizionamento dei files nel disco fisso.
Procedura di rimozione di W32.Zimuse
- Disattivare il ripristino di configurazione di sistema: Pannello di controllo > Sistema > scheda Ripristino configurazione di sistema > inserire la spunta sulla casella Disattiva Ripristino configurazione di sistema.
- Eseguire il tool di rimozione eZimuse Remover, sviluppato dalla ESET, di cui potete effettuare il download clickando QUI .
Ovviamente questa procedura è efficace solo se ci accorgiamo della presenza del worm prima che esso abbia cancellato l'MBR producendo danni difficilmente riparabili da chi non è più che esperto nel settore. Quindi, se dovesse capitare di riscontare sintomi di infezione da W32.Zimuse, come sopra descritti, e sopratutto, se vi fosse richiesto di riavviare il computer, in quanto un sedicente messaggio di errore vi segnala un file di sistema corrotto a causa di un pacchetto IP ricevuto (o qualcosa di simile) e ciò possa farvi sospettare l'infezione da W32.Zimuse, NON RIAVVIATE, ma fate una scansione con eZimuse Remover per evitare il peggio.
