Symantec poinformował o wykryciu kolejnego wirusa infekującego pliki tworzone dla platformy .Net. W32.HLLP.Sharpei@mm rozprzestrzenia się pocztą elektroniczną, podszywając się pod kolejnego patcha dla systemu Windows.

Pierwszym, działającym na platformie .Net insektem był wykryty na początku tego roku W32/Donut - robak internetowy, również rozprzestrzeniający się za pośrednictwem poczty elektronicznej. Nie potrafił on usuwać plików (jego działania ograniczało się do masowego rozsyłania swoich kopii). Podobnie jest z nowym wirusem - z tą jednak różnicą, że potrafi on znacznie utrudnić pracę na zainfekowanej maszynie.

W32.HLLP.Sharpei@mm zwykle pojawia się w komputerze w postaci pliku załączonego do e-maila o następujących parametrach:

Temat: Important: Windows update

Treść: Hey, at work we are applying this update because it makes Windows over 50% faster and more secure. I thought I should forward it as you may like it.

Załącznik: Ms02-010.exe

Po uruchomieniu załączonego pliku uaktywni się wirus - najpierw utworzy na dysku swoją kopię (C:Ms02-010.exe). Następnie utworzy i uruchomi plik Sharp.vbs (to sprawi, że kopie e-maila zostaną wysłane do wszystkich adresatów, znalezionych w książce adresowej programu Outlook). Procedura ta może być wielokrotnie powtarzana.

Jeśli wirus znajdzie w folderze System plik Mscoree.dll (będzie się on tam znajdował, jeżeli na zainfekowanej maszynie jest zainstalowany program Microsoft .NET Framework), zostanie utworzony i uruchomiony plik Cs.exe. On będzie odpowiedzialny za infekowanie plików z rozszerzeniem .exe, utworzonych za pomocą .Net Framework. Wirus zmodyfikuje również Rejestr - tak by plik Ms02-010.exe uruchamiany był przy każdym starcie systemu Windows.

Aby usunąć W32.HLLP.Sharpei@mm, należy zaopatrzyć się w najnowsze uaktualnienia do programu antywirusowego, przeprowadzić kompleksowe skanowanie systemu i usunąć wszystkie pliki zarażone przez wirusa.