E' un mass-mailing worm e stando alle informazioni date dalle varie case Antivirus, dopo aver infettato una macchina cerca gli indirizzi mail all'interno di files con estensione
.wab
.dbx
.htm
.html
.eml
.txt
e cerca di collegarsi ad alcuni siti dove preleva dei files per autoaggiornarsi nella macchina appena infettata.
Tutto questo si disattiverà il giorno 31.05.03
I sistemi operativi a rischio sono tutti quelli Windows.
Dettagli
Come detto il worm arriva via mail con mittente support@microsoft.com con messaggio "All information is in the attached file."
e con oggetto una delle seguenti frasi:
Your details
Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Re: My details
Screensaver
Cool screensaver
Re: Movie
Re: My application
Uno dei seguenti allegati tutti con estensione .pif
your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif
La grandezza dell'allegato è di 52,898 bytes
Se eseguito copia il file %Windir%\msccn32.exe (variabile C:\Windows C:\Winnt), crea inoltre questi files
%Windir%\hnks.ini
%Windir%\msdbrr.ini
Nella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
aggiunge il valore System Tray"="%Windir%\msccn32.exe"
nel caso il S.O della macchina infetta è NT/2000/XP aggiunge il valore
System Tray"="%Windir%\msccn32.exe"
nella chiave
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run
Cerca di trasmettersi anche in rete locale nei percorsi:
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
su dischi condivisi.
Ulteriori info all'URL
http://securityresponse.symantec.com....mankx@mm.html
Fix_tool all'URL
http://securityresponse.symantec.com...oval.tool.html
Marco(amvinfe)
Rispondi quotando