Virus Microsoft

ngilles · 23-05-2003, 16:07

Mi è arrivata una mail da support@microsoft, però mi sa che c'era un virus.
L'ho aperta, lo conoscete? Cosa può essermi successo?

Ciao.

M@gic · 23-05-2003, 16:20

Bekkato il virus.

Cmq http://news.hwupgrade.it/9987.html

ngilles · 23-05-2003, 17:09

Cazzo!!!

W32.Paly.A è un worm che si diffonde attraverso allegati messaggi email il cui mittente viene falsificato. Le dimensioni del file di codice sono di circa 50KB ed è rappresentato da un file con estensione .PIF. Il codice del worm è compresso con l'utilità UPX.

Le caratteristiche del messaggio email sono le seguenti:

Mittente: [email protected]
Messaggio: All information is in the attached file.

L'oggetto dell'e-mail viene generato casualmente usando la seguente lista di nomi

Re: My application
Re: Movie
Cool screensaver
Screensaver
Re: My details
Your password
Re: Approved (ref: 3394-65467)
Approved (Ref: 38446-263)
Your details

Il nome del file allegato invece viene selezionato casualmente attraverso il seguente elenco

application.pif
movie28.pif
screen_doc.pif
screen_temp.pif
doc_details.pif
password.pif
approved.pif
ref-394755.pif
your_details.pif

Gli indirizzi email ai quali il worm cerca di autoinviarsi, vengono estratti dai files presenti sul computer infetto, che hanno le seguenti estensioni

html
htm
dbx
wab

Quando viene malauguratamente attivato sul sistema, il worm effettua una serie di azioni a garanzia della sua esecuzione in automatico. Nel Registro di sistema scrive il valore

System Tray=C:\WINDOWS\msccn32.exe

nelle chiavi

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Quindi crea sul disco il file hnks.ini dove memorizza gli indirizzi e-mail trovati.
Il worm usa un suo motore SMTP per inviare le e-mail infette. Inoltre, tenta di diffondersi anche in rete locale, copiando se stesso in alcuni percorsi eventualmente presenti su dischi condivisi:

Documents and Settings\All Users\Start Menu\Programs\Startup
Windows\All Users\Start Menu\Programs\Startup

Il worm tenta di prelevare e di eseguire dei file da quattro diversi siti web, quindi è anche in grado di aggiornare se stesso o di installare ulteriore malware sul sistema infetto.

La fase di autoinvio e diffusione sarà attiva solo fino al 31 Maggio 2003, oltre tale giorno il parco macchine infettato provvederà ad aggiornarsi utilizzando la connessione web di sistema. Tali macchine potrebbe potenzialmente trasformarsi in sistemi zombie utilizzabili in successivi attacchi informatici .

Ulteriori informazioni sono disponibili a questo indirizzo.

Mi sa che è grave!!

23-05-2003, 16:07	#1
ngilles Bannato Iscritto dal: Aug 1999 Messaggi: 7	Virus Microsoft Mi è arrivata una mail da support@microsoft, però mi sa che c'era un virus. L'ho aperta, lo conoscete? Cosa può essermi successo? Ciao.

23-05-2003, 16:20	#2
M@gic Senior Member Iscritto dal: Apr 2003 Città: Napoli Messaggi: 5243	Bekkato il virus. Cmq http://news.hwupgrade.it/9987.html __________________ "Empty your mind, be formless, shapeless — like water. Now you put water in a cup, it becomes the cup; You put water into a bottle it becomes the bottle; You put it in a teapot it becomes the teapot. Now water can flow or it can crash. Be water, my friend.." (B. Lee)

23-05-2003, 17:09	#3
ngilles Bannato Iscritto dal: Aug 1999 Messaggi: 7	Cazzo!!! W32.Paly.A è un worm che si diffonde attraverso allegati messaggi email il cui mittente viene falsificato. Le dimensioni del file di codice sono di circa 50KB ed è rappresentato da un file con estensione .PIF. Il codice del worm è compresso con l'utilità UPX. Le caratteristiche del messaggio email sono le seguenti: Mittente: [email protected] Messaggio: All information is in the attached file. L'oggetto dell'e-mail viene generato casualmente usando la seguente lista di nomi Re: My application Re: Movie Cool screensaver Screensaver Re: My details Your password Re: Approved (ref: 3394-65467) Approved (Ref: 38446-263) Your details Il nome del file allegato invece viene selezionato casualmente attraverso il seguente elenco application.pif movie28.pif screen_doc.pif screen_temp.pif doc_details.pif password.pif approved.pif ref-394755.pif your_details.pif Gli indirizzi email ai quali il worm cerca di autoinviarsi, vengono estratti dai files presenti sul computer infetto, che hanno le seguenti estensioni html htm dbx wab Quando viene malauguratamente attivato sul sistema, il worm effettua una serie di azioni a garanzia della sua esecuzione in automatico. Nel Registro di sistema scrive il valore System Tray=C:\WINDOWS\msccn32.exe nelle chiavi HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Quindi crea sul disco il file hnks.ini dove memorizza gli indirizzi e-mail trovati. Il worm usa un suo motore SMTP per inviare le e-mail infette. Inoltre, tenta di diffondersi anche in rete locale, copiando se stesso in alcuni percorsi eventualmente presenti su dischi condivisi: Documents and Settings\All Users\Start Menu\Programs\Startup Windows\All Users\Start Menu\Programs\Startup Il worm tenta di prelevare e di eseguire dei file da quattro diversi siti web, quindi è anche in grado di aggiornare se stesso o di installare ulteriore malware sul sistema infetto. La fase di autoinvio e diffusione sarà attiva solo fino al 31 Maggio 2003, oltre tale giorno il parco macchine infettato provvederà ad aggiornarsi utilizzando la connessione web di sistema. Tali macchine potrebbe potenzialmente trasformarsi in sistemi zombie utilizzabili in successivi attacchi informatici . Ulteriori informazioni sono disponibili a questo indirizzo. Mi sa che è grave!!

Strumenti
Mostra una versione stampabile Invia questa pagina per email