Un nuovo worm, molto pericoloso, è stato scoperto in questi giorni.
W32.Hedong.A@mm, questo il suo nome, è stato classificato dalla Symantec come worm ad alto potenziale distruttivo.
Hedong si spedisce usando un suo motore SMTP. A seconda dell’ora di sistema, il worm allega alla mail i file Hello.exe o Hello.vbs.
Il worm genera tutte le caratteristiche delle mail in modo casuale:
- l’indirizzo del mittente conterrà caratteri generati in modo casuale seguiti da un “@”, e la stringa che segue il “smtp.” del smtp server scelto è usata per spedire il messaggio email. Per esempio se sceglie di usare “smtp.163.net”, l’indirizzo del mittente potrebbe essere una serie di caratteri casuali seguiti da “@163.net”.
- l’indirizzo del destinatario è costruito allo stesso modo.
- il soggetto sarà formato da una serie di soggetti scelti a caso scritti in Cinese.
Successivamente cambia la Start page di Internet Explorer impostandola su http:/ /www.hziee.edu.cn.
All’esecuzione del file Vbs, cancella tutti i file con l’estensione ".exe", ".dll", ".dat", ".doc", e ".mp3".
Il worm sfrutta l’Exploit “Incorrect MIME Header” per eseguirsi automaticamente sui computer su cui non è installata l’apposita patch.
Ulteriori info su Hedong potrete trovarle qui:
http://securityresponse.symantec.co...edong.a@mm.html