Guai in vista per gli screensaver dei sistemi operativi di casa Microsoft. Il “cattivo” in questione è un Trojan chiamato Ketawa.A: questo malware è in grado di modificare alcuni parametri negli screensaver dei PC.
Dopo aver infettato un computer, questo Trojan apre Internet Explorer e visualizza una pagina in cui viene raccontata una storia divertente su un personaggio indonesiano.
Per diffondersi, questo codice maligno non utilizza mezzi propri ma ha bisogno dell’intervento degli utenti per passare da un PC all’altro. Infatti i suoi mezzi di propagazione sono: CD-ROM, e-mail con allegati, ftp, canali IRC, file scambiati tramite i P2P e pennette usb.
Quando il malware riuscirà ad aggirare i sistemi di protezione del computer, modificherà lo screensaver abbreviando il tempo di attivazione e richiedendo la password per disattivarlo. Per fare ciò, crea i file MONTHYEAR.REG e SPY.REG che modificano alcune chiavi del registro di Windows.
Per far si che questi file di registro funzionino ad ogni ravvio del sistema, Ketawa.A crea due file eseguibili nella cartella di Windows: NETMMC.EXE e TOOTSMAN.EXE, ovvero le copie integrali del malware con denominazione diversa. Quindi, anche dopo l’utilizzo della scansione antivirus, per essere sicuri di aver eliminato l’infezione, date un occhiata nella cartella Windows per accettarvi dell’eliminazione di questi due file eseguibili. Nel caso in cui essi si trovano ancora sul PC è bene che li eliminiate manualmente accedendo come utente provvisorio.
Per i più curiosi, questo codice è stato progettato con il linguaggio di programmazione Visual Basic v6.0 e pesa 77,824 bytes.