Worm_Sohanad.Al
Pagina 1 di 1
Worm_Sohanad.Al
CARTA D'IDENTITA'
Tipo: worm
Sistemi operativi colpiti Windows 98, ME, NT, 2000, XP, Server 2003
Distribuzione geografica: bassa ma potenzialmente in crescita
Contenimento della minaccia: difficile
Rimozione: difficile
Rischio: basso
DESCRIZIONE
Questo worm si diffonde tramite messaggistica istantanea, attraverso un messaggio simile a questi:
• who is beside you in this pic http://icknews.info/friendpic1.jpg so good-looking hot pics this week http://quicknews.info/hot.jpg
• 1 of my vacation pictures http://icknews.info/vacation1.jpg <:-P
• 1 of my vacation pictures http://icknews.info/vacation2.jpg <:-P
• Screenshot of new windows version _ Windows Vista http://icknews.info/vista.jpg so cool
• Images shot in Iraq _ The war will never end http://icknews.info/Iraqwar.jpg <<
• oh my god , i've won a 20000 usd lottery :O http://icknews.info/mylottery.jpg <<
• never click into the links like something in this image http://icknews.info/dontclick.jpg #:-S !!!
• the page cannot be displayed http://icknews.info/error.jpg Something was wrong !!!
• the page cannot be displayed http://icknews.info/error.jpg Something was wrong !!! Check it again and tell me later. THanks
• Do you realize who is in this image: http://icknews.info/who.jpg . Just think for a moment and tell me soon )
COSA FA
1. crea un eseguibile di nome svchost.exe in
c:\windows\system\
o la cartella equivalente se windows non è installato in C:\ o ha una cartella di nome diverso.
2. Crea la chiave di registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run Task Manager = "%Windows%\system\svchost.exe"
per autoavviarsi.
Aggiunge anche
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run Yahoo Messenger = "%Windows%\system\svchost32.exe"
per assicurare che l'esecuzione del file scaricato
3. Altera attraverso l'aggiunta di queste chiavi di registro
HKEY_CURRENT_USER\Software\Yahoo\pager\ View\YMSGR_buzz content url = "http://icknews.info"
HKEY_CURRENT_USER\Software\Yahoo\pager\ View\YMSGR_Launchcast content url = "http://icknews.info"
la configurazione di yahoo! messenger.
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\System
DisableRegistryTools = "1"
DisableTaskMgr = "1"
di default il valore è 0.
4. Aggiunge
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer NoRun = "1"
per disabilitare “esegui”
5. Cambia la pagina iniziale di internet explorer con
HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main
Start Page = "http://icknews.info"
6. Blocca la pagina iniziale di internet explorer per evitare modifiche manuali tramite la chiave di registro
HKEY_CURRENT_USER\Software\Policies\Microsoft\ Internet Explorer\Control Panel Homepage = "1"
7. Inoltre può scaricare dagli indirizzi
http://zzlecircle.com/Gallery/albums/album/worm2007.exe
e
http://zzlecircle.com/Gallery/albums/album/YMworm.exe
copie di se stesso o un altro worm.
N.B. i link sono stati parzialmente cancellati per evitare possibili infezioni involontarie.
COME RIMUOVERLO
Al momento solo trend micro lo segnala e lo rimuove.
Per una sua rimozione, copiare il seguente testo in un file di testo
On Error Resume Next
Set shl = CreateObject("WScript.Shell")
Set fso = CreateObject("scripting.FileSystemObject")
shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun"
e quindi salvarlo con estensione .vbs
premere quindi due volte sul file salvato e poi rispondere ok al messaggio.
Scansionare con l'antivirus trend micro o in alternativa con la scansione on-line disponibile a questo link.
(funziona anche con firefox)
Appuntate dove viene rilevato il worm WORM_SOHANAD.AL. e il nome del file
Aprite il task manager (ctrl+alt+canc) cercate e terminate il processo relativo al worm. Nel caso non riusciste a farlo, avviate il pc in modalità provvisora e terminatelo da lì.
Aprite l'editor del registro ed eliminate le chiavi seguenti:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>Run
Task Manager = "%Windows%\system\svchost.exe”
Yahoo Messenger = "%Windows%\system\svchost32.exe"
HKEY_CURRENT_USER>Software>Yahoo>pager>View
YMSGR_buzz
YMSGR_Launchcast
HKEY_CURRENT_USER>Software>Policies>Microsoft>
Homepage = "1"
presenti nella parte sinistra dello schermo.
Ripristinate la pagina iniziale di internet explorer.
Per windows XP e windows Millenium:
dopo la pulizia se non notate malfunzionamenti disattivate il ripristino configurazione di sistema. Riavviate il pc e quindi riattivatelo.
Tipo: worm
Sistemi operativi colpiti Windows 98, ME, NT, 2000, XP, Server 2003
Distribuzione geografica: bassa ma potenzialmente in crescita
Contenimento della minaccia: difficile
Rimozione: difficile
Rischio: basso
DESCRIZIONE
Questo worm si diffonde tramite messaggistica istantanea, attraverso un messaggio simile a questi:
• who is beside you in this pic http://icknews.info/friendpic1.jpg so good-looking hot pics this week http://quicknews.info/hot.jpg
• 1 of my vacation pictures http://icknews.info/vacation1.jpg <:-P
• 1 of my vacation pictures http://icknews.info/vacation2.jpg <:-P
• Screenshot of new windows version _ Windows Vista http://icknews.info/vista.jpg so cool
• Images shot in Iraq _ The war will never end http://icknews.info/Iraqwar.jpg <<
• oh my god , i've won a 20000 usd lottery :O http://icknews.info/mylottery.jpg <<
• never click into the links like something in this image http://icknews.info/dontclick.jpg #:-S !!!
• the page cannot be displayed http://icknews.info/error.jpg Something was wrong !!!
• the page cannot be displayed http://icknews.info/error.jpg Something was wrong !!! Check it again and tell me later. THanks
• Do you realize who is in this image: http://icknews.info/who.jpg . Just think for a moment and tell me soon )
COSA FA
1. crea un eseguibile di nome svchost.exe in
c:\windows\system\
o la cartella equivalente se windows non è installato in C:\ o ha una cartella di nome diverso.
2. Crea la chiave di registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run Task Manager = "%Windows%\system\svchost.exe"
per autoavviarsi.
Aggiunge anche
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run Yahoo Messenger = "%Windows%\system\svchost32.exe"
per assicurare che l'esecuzione del file scaricato
3. Altera attraverso l'aggiunta di queste chiavi di registro
HKEY_CURRENT_USER\Software\Yahoo\pager\ View\YMSGR_buzz content url = "http://icknews.info"
HKEY_CURRENT_USER\Software\Yahoo\pager\ View\YMSGR_Launchcast content url = "http://icknews.info"
la configurazione di yahoo! messenger.
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\System
DisableRegistryTools = "1"
DisableTaskMgr = "1"
di default il valore è 0.
4. Aggiunge
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer NoRun = "1"
per disabilitare “esegui”
5. Cambia la pagina iniziale di internet explorer con
HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main
Start Page = "http://icknews.info"
6. Blocca la pagina iniziale di internet explorer per evitare modifiche manuali tramite la chiave di registro
HKEY_CURRENT_USER\Software\Policies\Microsoft\ Internet Explorer\Control Panel Homepage = "1"
7. Inoltre può scaricare dagli indirizzi
http://zzlecircle.com/Gallery/albums/album/worm2007.exe
e
http://zzlecircle.com/Gallery/albums/album/YMworm.exe
copie di se stesso o un altro worm.
N.B. i link sono stati parzialmente cancellati per evitare possibili infezioni involontarie.
COME RIMUOVERLO
Al momento solo trend micro lo segnala e lo rimuove.
Per una sua rimozione, copiare il seguente testo in un file di testo
On Error Resume Next
Set shl = CreateObject("WScript.Shell")
Set fso = CreateObject("scripting.FileSystemObject")
shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun"
e quindi salvarlo con estensione .vbs
premere quindi due volte sul file salvato e poi rispondere ok al messaggio.
Scansionare con l'antivirus trend micro o in alternativa con la scansione on-line disponibile a questo link.
(funziona anche con firefox)
Appuntate dove viene rilevato il worm WORM_SOHANAD.AL. e il nome del file
Aprite il task manager (ctrl+alt+canc) cercate e terminate il processo relativo al worm. Nel caso non riusciste a farlo, avviate il pc in modalità provvisora e terminatelo da lì.
Aprite l'editor del registro ed eliminate le chiavi seguenti:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>Run
Task Manager = "%Windows%\system\svchost.exe”
Yahoo Messenger = "%Windows%\system\svchost32.exe"
HKEY_CURRENT_USER>Software>Yahoo>pager>View
YMSGR_buzz
YMSGR_Launchcast
HKEY_CURRENT_USER>Software>Policies>Microsoft>
Homepage = "1"
presenti nella parte sinistra dello schermo.
Ripristinate la pagina iniziale di internet explorer.
Per windows XP e windows Millenium:
dopo la pulizia se non notate malfunzionamenti disattivate il ripristino configurazione di sistema. Riavviate il pc e quindi riattivatelo.
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.