Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 2 su 2

Discussione: W32.Sobig.E@mm

  1. 26-06-2003, 00:52 #1
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739

    W32.Sobig.E@mm

    W32.Sobig.E@mm


    Un’ennesima variante, questa volta più virulenta di quella che l’ha preceduta, del worm che ormai tutti conoscono.
    Anche la variante .E si propaga via mail, ma può anche infettare macchine residenti nelle LAN è scritto in C++ e compresso in UPX.
    Come scritto è un mass mailing worm, per autoinviarsi usa un proprio motore SMTP andando a cercare gli indirizzi cui inviarsi , nei files aventi queste estensioni:
    · WAB
    · DBX
    · HTM
    · HTML
    · EML
    · TXT
    La mail può avere questo mittente

    support@yahoo.com

    uno di questi “Oggetto”

    referer.pif
    004448554.pif
    re.document.pif
    new_document.pif
    submited.pif
    Screensaver.scr
    movie.pif
    Applications.pif
    Application.pif
    Your application
    Re: Re: Document
    Re: Re: Application ref. 003644
    Re: Documents
    Re: Screensaver
    Re: Submited (Ref: 003746)
    Re: Movies
    Re: Movie
    Re: Application

    il corpo del messaggio è

    Please see the attached file for details.

    Il nome dell’allegato può essere uno di questi, gli allegati della mail saranno tutti con estensione .zip, ma all’interno di ogni file compresso vi è il worm. L’allegato pesa ~ 86,528 Bytes

    Movie.zip (Movie.pif)
    screensaver.zip (sky_world.scr)
    document.zip (document.pif)
    application.zip (application.pif)
    Your_details.zip(details.pif)

    W32.Sobig.E@mm infetta tutti i S.O. Windows e quando viene eseguito, copia i files MSRRF.DAT e WinSSK32.EXE in C:\Windows o C:\WINNT a seconda del S.O. in uso; per potersi eseguire ad ogni riavvio della macchina aggiunge il valore SSK Service = "%Windows%\WinSSK32.EXE" in
    HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run
    e SKK Service = "%Windows%\WinSSK32.exe in
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run

    Crea un evento che si chiama “Nuiro.X”, questo per assicurarsi d’avere solo una copia residente in memoria.
    Rimozione manuale:
    Start>Esegui>regedit
    raggiungere la chiave
    HKEY_LOCAL_MACHINE>Software>Microsoft>
    Windows>CurrentVersion>Run
    ed eliminare il processo
    SKK Service = "%Windows%\WinSSK32.exe
    portarsi in
    HKEY_CURRENT_USER>Software>Microsoft>
    Windows>CurrentVersion>Run
    ed eliminare
    SSK Service = "%Windows%\WinSSK32.EXE"
    chiudere il registro.
    Fare una ricerca nel disco del file MSRRF.DAT e cancellarlo
    N.B.
    Nei S.O. WinMe e WinXP ricordarsi di disabilitare il System Restore.


    Marco(amvinfe)
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  2. 26-06-2003, 09:35 #2
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739



    Questo è un esempio di come può essere una mail con allegato il worm W32.Sobig.E@mm



    Marco(amvinfe)
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.