Arriva un e-mail con allegato(compresso)l'email arriva da contatti conosciuti quindi ritenuti sicuri,nell'e-mail è specificato che si tratta di un gioco e di decomprimerlo,una volta decompresso nel mio caso l'eseguibile è frecciette.exe ma varia,una volta eseguito il file freccette.exe crea nella cartellla
C:\Documenti and setting\nome\impostazioni locali\Temp\game1.exe anche qui il nome è random "infetto" da joke quindi innoquo
poi come non potevano esserci crea questi files
C:\WINDOWS\system32\msx.dll
C:\\WINDOWS\\system32\KABOOM.DLL
Nel registro crea un bel macello
[HKEY_CLASSES_ROOT\CLSID\{037CE595-57CB-4EB5-9775-97BC112F3BB3}]
@="MSX"
[HKEY_CLASSES_ROOT\CLSID\{037CE595-57CB-4EB5-9775-97BC112F3BB3}\InprocServer32]
@="C:\\WINDOWS\\system32\\msx.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{037CE595-57CB-4EB5-9775-97BC112F3BB3}\ProgID]
@="do.msx.1"
[HKEY_CLASSES_ROOT\CLSID\{037CE595-57CB-4EB5-9775-97BC112F3BB3}\Programmable]
[HKEY_CLASSES_ROOT\CLSID\{037CE595-57CB-4EB5-9775-97BC112F3BB3}\TypeLib]
@="{3E55D5AA-2006-4572-BCF3-643D6AAB9063}"
[HKEY_CLASSES_ROOT\CLSID\{037CE595-57CB-4EB5-9775-97BC112F3BB3}\VersionIndependentProgID]
@="do.msx"
[HKEY_CLASSES_ROOT\Interface\{7E951E5E-C57B-41ED-806F-1FBB2E4538C1}]
@="Imsx"
[HKEY_CLASSES_ROOT\Interface\{7E951E5E-C57B-41ED-806F-1FBB2E4538C1}\ProxyStubClsid]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_CLASSES_ROOT\Interface\{7E951E5E-C57B-41ED-806F-1FBB2E4538C1}\TypeLib]
@="{3E55D5AA-2006-4572-BCF3-643D6AAB9063}"
"Version"="1.0"
[HKEY_CLASSES_ROOT\TypeLib\{3E55D5AA-2006-4572-BCF3-643D6AAB9063}]
[HKEY_CLASSES_ROOT\TypeLib\{3E55D5AA-2006-4572-BCF3-643D6AAB9063}\1.0]
@="msx Type Library"
[HKEY_CLASSES_ROOT\TypeLib\{3E55D5AA-2006-4572-BCF3-643D6AAB9063}\1.0\0]
[HKEY_CLASSES_ROOT\TypeLib\{3E55D5AA-2006-4572-BCF3-643D6AAB9063}\1.0\0\win32]
@="C:\\WINDOWS\\system32\\msx.dll"
[HKEY_CLASSES_ROOT\TypeLib\{3E55D5AA-2006-4572-BCF3-643D6AAB9063}\1.0\FLAGS]
@="0"
[HKEY_CLASSES_ROOT\TypeLib\{3E55D5AA-2006-4572-BCF3-643D6AAB9063}\1.0\HELPDIR]
@="C:\\WINDOWS\\system32\\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\zeal]
"campaign_id"="22"
[HKEY_CLASSES_ROOT\do.msx.1]
@="MSX"
[HKEY_CLASSES_ROOT\do.msx.1\CLSID]
@="{037CE595-57CB-4EB5-9775-97BC112F3BB3}"
[HKEY_CLASSES_ROOT\do.msx]
@="MSX"
[HKEY_CLASSES_ROOT\do.msx\CurVer]
@="do.msx.1"
Nessuna chiave registrata in avvio automatico,staremo a vedere
Rispondi quotando
e roba vecchia anche nella mail... figuriamoci, un gioco! se vuoi capire come è fatto un worm lo devi anche disassemblare per cercare di risalire al sorgente, come ha fatto Robert Graham con Blaster. il sistema da te usato è quello dell'environment. per perfezionarlo dovresti anche usare uno sniffer ed un monitoratore del registro. così è ancora molto rozzo. 
anche se certe volte sembra 
