W32.Higuy@mm è un worm che spedisce se stesso a tutti i contatti nella rubrica di Microsoft.
Dettagli tecnici
Se W32.Higuy@mm viene eseguito, svolge le seguenti azioni:
1) Mostra il falso messaggio di alert:
VBRUN49.dll not found! Unable to execute.
e copia se stesso in %Windows%\dllmgr32.exe.
2) Aggiunge il valore
DllManager %WINDOWS%\dllmgr32.exe
alla chiave di registro
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
cosicche il worm viene eseguito all'avvio di Windows.
3) Il worm guarda nella chiave di registro
HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name
per avere il nome del file della Rubrica di Outlook e si spedisce a tutti i contatti nella rubrica.
L' e-mail ha queste caratteristiche:
Il Subject è uno dei seguenti:
Incredibile..
Urgente! (vedi allegato)
Qualsiasi cosa fai,falla al meglio.
Incredible..
L'Attachment ha uno dei seguenti nomi:
tettona.exe
euro.exe
tattoo.exe
Il corpo del messaggio è uno dei seguenti:
Ciao,
apri subito l'allegato,e' molto interessante.
A presto...
Ciao,
devi assolutamente vedere il file che ti ho allegato.
A presto...
Ciao,
okkio all'allegato ;-)
A presto...
Hello,
see this interesting file.
Bye.
Ulteriori informazioni su http://securityresponse.symantec.com....higuy@mm.html