W32.Funner viaggia su MSN

W32.Funner viaggia su MSN

Nuovo worm che si diffonde via MSN. Il rischio di infezione risulta tuttavia limitato

di Marco Giuliani pubblicata il , alle 08:37 nel canale Sicurezza
 
Anche MSN ritorna ad essere piattaforma per la diffusione di virus. É stato isolato in questi giorni un nuovo worm che si diffonde attraverso il Windows Messenger di Microsoft.
W32.Funner, questo il nome del worm, si diffonde mandando una copia di sé stesso a tutti i contatti presenti in lista.
Una volta eseguito il worm si copia in varie directory:

%System%\IEXPLORE.EXE
%System%\EXPLORE.EXE
%Windir%\rundll32.exe
%System%\userinit32.exe
c:\funny.exe

NB: %System% è la directory di sistema e %windir% è la directory di Windows

Crea poi un file di log, %System%\bsfirst2.log

Aggiunge la chiave "Userinit"="userinit32.exe" sotto la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

e la chiave "MMSystem"="%Windir%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"

all'interno di queste chiavi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Potrebbe inoltre aggiungere la linea di comando Shell = %System%\explorer.exe nella sezione [boot] del file system.ini.

Tenta di mandare a tutti i contatti MSN il file c:\funny.exe.

Modifica poi il file HOSTS, reindirizzando un migliaio di siti all'indirizzo ip 222.89.98.219, che corrisponderebbe al sito www.78p.com. Il tentativo del virus writer potrebbe essere quello di un attacco DDoS. Il sito risulta al momento irraggiungibile.

Si raccomanda come sempre di aggiornare il proprio software antivirus.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

17 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
adrygr12 Ottobre 2004, 09:43 #1
e dai ancora co sti worm
non ne posso più
ultimamente stiamo lavorando solo per virus e worm
Luxor8312 Ottobre 2004, 09:47 #2
di sicuro non avvierò messenger per un bel pezzo!!!!!!!!!!!!!
hermes3d12 Ottobre 2004, 09:54 #3
Una curiosità: ma basta avviare qualsiasi versione di MSN perchè si abbia la possibilità di essere infettati ?
Mad Penguin12 Ottobre 2004, 10:03 #4
beh direi che basta non accettare i file .exe che ti vengono mandati... almeno... credo di aver capito cosi
Vince 1512 Ottobre 2004, 10:07 #5
Io so che ieri messenger faticava ad andare... e non solo a me, ma anche ai miei contatti. Poi nel pomeriggio è tornato a funzionare... ma di sera ancora problemi. Cmq ora mi scanno il sistema con kaspersky e via...
allmaster12 Ottobre 2004, 10:14 #6
ma se per infettarti devi ricervere un file (.exe per giunta) dai tuoi contatti il primo che è stato infettato è il creatore del virus.

a me i software tipo MSN e ICQ non piaciono per il fatto che tutti i tuoi contatti sanno quando sei on-line, e se ne hai troppi finisci per non riuscire a "lavorare"
DeMonViTo12 Ottobre 2004, 10:19 #7
Penso che un'ottima alternativa al momento sia trillian o kopete (oltre ke a gaim)




cmq desta stupore che ormai molti virus/worm non cerchino di rendere innefficaci le macchine ma usate per loro scopi privati (attakki a terze persone)

perche' non ci mettiamo a sviluppare anche noi un worm? cosi' mettiamo 500k di pc a lavorare si SETI


ahuhaahuaahu in 2 giorni scopriamo gli alieni e pure cosa pensano le done :P

w i worm
AudioDE12 Ottobre 2004, 10:45 #8
ma non è melgio far lavorare il pc per far progredire la ricerca contro il cancro piuttosto che per trovare gli alieni?
tasso7912 Ottobre 2004, 10:51 #9
E' più facile scoprire gli alieni che trovare una donna che pensi!
Vince 1512 Ottobre 2004, 10:53 #10
ma LOL

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^