Dersom du ser meldingen «Make a fool of oneself: What a foolish thing you’ve done!» er du allerede infisert. Dersom du trykker «OK» I dialogboksen, starter viruset med å slette alle slettbare filer på den harddisken hvor det er kjørt.
Dreper brannmuren
W32.Winevar.A ormen spres seg som de fleste andre ormer via e-post. Den forsøker å deaktivere antivirus- og brannmurprosesser, og deretter slette alt innhold på stasjonen viruset kjøres på. I tillegg aktiverer viruset et annet virus, W32.FunLove.4099.
Flere kilder oppgir flere forskjellige kjennetegn man kan se etter når man mottar e-post. De sikreste tegnene er å se om emnet innholder «AVAR». I tillegg inneholder alle infiserte e-poster vedleggene WINXXX.TXT, WINXXX.GIF og WINXXX.PIF.
Egen SMTP
I likhet med Klez og andre senere ormer bruker Widevar sin egen SMTP funksjon for å sende ut e-poster. Den trenger altså ikke noe e-post program for å spre seg. Når viruset kjøres leter det blant annet gjennom alle .HTM og .DBX filer etter e-post adresser den kan sende seg selv til.
Annonse
Dette betyr at man ikke uten videre bør sende sinte e-poster til avsenderen dersom man mottar viruset. Den egentlige avsenderen kan være en helt annen enn den som står i avsenderfeltet.
De fleste antivirusprogrammer er allerede oppdaterte til å oppdage viruset. Vi anbefaler alle våre lesere å oppdatere sine antivirusprogrammer snarest!
Annonse
