amvinfe
21-12-2002, 10:36
W32.Duksten.C@mm
E’ una nuova variante, di W32.Duksten.B@mm č un mass-mailing worm e la sua diffusione viene considerata alta. Usa un proprio motore SMTP per spedire mail infette a tutti i contatti presenti nella rubrica del Pc infetto.
Arriva, come detto, per posta ed ha queste caratteristiche:
from: "VicenteF"<nolopongo@ya.com>
testo messaggio: no la abrais delante de vuestra novia...je je je
oggetto: os envio a todos esta postal pero...
allegato: PoXtal.zip (10.872 bytes)
Appena il worm viene attivato, copia in System il file SysTrayEx.exe (dove System č una variabile:
C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), C:\Windows\System32 (Windows XP), da notare la somiglianza del file infetto con, invece, il file Systray.exe di Windows.
Copia SystemTrayExtended SysTrayEx.exe in
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows\CurrentVersion\Run, e cerca poi di cancellare Regedit.exe,
NOTA:
il worm, per un bug all’interno del codice virale, non riesce a cancellare il valore Regedit.exe.
Successivamente crea tre files in System:
H_base64.xrf
H_prgrm.zip
H_wab.xrf
Il worm cerca nei registri quali sono gli mail account, SMTP server e gli user name POP3
ed usa queste informazioni per poi spedirsi agli indirizzi della rubrica.
La rimozione del worm la si ottiene eseguendo una scansione con il proprio AV aggiornato e rimovendo il valore SystemTrayExtended da
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\CurrentVersion\Run
Marco(amvinfe)
A u g u r i di buon N a t a l e 2 0 0 2
E’ una nuova variante, di W32.Duksten.B@mm č un mass-mailing worm e la sua diffusione viene considerata alta. Usa un proprio motore SMTP per spedire mail infette a tutti i contatti presenti nella rubrica del Pc infetto.
Arriva, come detto, per posta ed ha queste caratteristiche:
from: "VicenteF"<nolopongo@ya.com>
testo messaggio: no la abrais delante de vuestra novia...je je je
oggetto: os envio a todos esta postal pero...
allegato: PoXtal.zip (10.872 bytes)
Appena il worm viene attivato, copia in System il file SysTrayEx.exe (dove System č una variabile:
C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), C:\Windows\System32 (Windows XP), da notare la somiglianza del file infetto con, invece, il file Systray.exe di Windows.
Copia SystemTrayExtended SysTrayEx.exe in
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows\CurrentVersion\Run, e cerca poi di cancellare Regedit.exe,
NOTA:
il worm, per un bug all’interno del codice virale, non riesce a cancellare il valore Regedit.exe.
Successivamente crea tre files in System:
H_base64.xrf
H_prgrm.zip
H_wab.xrf
Il worm cerca nei registri quali sono gli mail account, SMTP server e gli user name POP3
ed usa queste informazioni per poi spedirsi agli indirizzi della rubrica.
La rimozione del worm la si ottiene eseguendo una scansione con il proprio AV aggiornato e rimovendo il valore SystemTrayExtended da
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\CurrentVersion\Run
Marco(amvinfe)
A u g u r i di buon N a t a l e 2 0 0 2