W32.Higuy@mm è un worm che spedisce se stesso a tutti i contatti nella rubrica di Microsoft.

Dettagli tecnici

Se W32.Higuy@mm viene eseguito, svolge le seguenti azioni:

1) Mostra il falso messaggio di alert:
VBRUN49.dll not found! Unable to execute.
e copia se stesso in %Windows%\dllmgr32.exe.

2) Aggiunge il valore
DllManager %WINDOWS%\dllmgr32.exe
alla chiave di registro
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
cosicche il worm viene eseguito all'avvio di Windows.

3) Il worm guarda nella chiave di registro
HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name
per avere il nome del file della Rubrica di Outlook e si spedisce a tutti i contatti nella rubrica.

L' e-mail ha queste caratteristiche:

Il Subject è uno dei seguenti:
Incredibile..
Urgente! (vedi allegato)
Qualsiasi cosa fai,falla al meglio.
Incredible..

L'Attachment ha uno dei seguenti nomi:
tettona.exe
euro.exe
tattoo.exe

Il corpo del messaggio è uno dei seguenti:
Ciao,
apri subito l'allegato,e' molto interessante.
A presto...

Ciao,
devi assolutamente vedere il file che ti ho allegato.
A presto...

Ciao,
okkio all'allegato ;-)
A presto...

Hello,
see this interesting file.
Bye.





Ulteriori informazioni su http://securityresponse.symantec.com....higuy@mm.html