W32.Pahatia.A
Pagina 1 di 1
W32.Pahatia.A
CARTA D'IDENTITA'
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
W32.Pahatia.A è un worm che si copia nelle cartelle locali e tenta di riavviare il computer infetto se determinati processi sono in esecuzione.
COSA FA
Quando viene eseguito, W32.Pahatia.A si comporta nel modo seguente:
1. Si copia con i nomi seguenti:
* C:\Documents and Settings\All Users\Desktop\My Documents.exe * C:\Documents and Settings\All Users\Start Menu\Programs\My Documents.exe * C:\Program Files\Microsoft Office\Temp.exe * C:\WINDOWS\security\krnl32.bat * C:\WINDOWS\system\Aku Bisa Tanpamu.exe * C:\WINDOWS\system\Aku Kecewa.exe * C:\WINDOWS\system\Dibalas Dengan Dusta.exe * C:\WINDOWS\system\ISASS.exe * C:\WINDOWS\system\Kau Pikir Kaulah Segalanya.exe * C:\WINDOWS\system\LNETINFO.exe * C:\WINDOWS\system\mr.abram's.exe * C:\WINDOWS\system\Sejauh Mungkin.exe * C:\WINDOWS\system\Tak Seperti Dulu.exe * C:\WINDOWS\system\Viva Elektro.exe * C:\WINDOWS\system32\Patah_0[RANDOM].exe * C:\WINDOWS\hkcmd.exe * C:\WINDOWS\system.exe
2. Tenta di copiarsi come Dati [NOME COMPUTER].exe nelle seguenti cartella e unità:
* %UserProfile%\My Documents\
* D:\
* E:\
* F:\
* G:\
* H:\
* I:\
* J:\
* K:\
* L:\
* M:\
* N:\
* Z:\
3. Cerca nella sottocartella di %UserProfile%\My Documents e si copia come [NOME CARTELLA].exe.
4. Crea il seguente file di testo come marcatore di infezione:
C:\Patah Hati.txt
5. Si copia come il seguente file in modo da essere eseguito ad ogni avvio di Windows:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\system startup.pif
6. Aggiunge i valori:
"Patah Hati" = "C:\WINDOWS\system\ISASS.exe"
"user logon" = "C:\WINDOWS\Help\user logon.exe"
alla sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run in modo da essere sempre eseguito all'avvio di Windows.
7. Aggiunge il valore:
"HotKeysCmds" = "C:\WINDOWS\hkcmd.exe" alla sottochiave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run in modo da essere sempre eseguito all'avvio di Windows.
8. Aggiunge il valore:
"Shell" = "Explorer.exe "C:\Program Files\Microsoft Office\Temp.exe"" alla sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon in modo da essere sempre eseguito all'avvio di Windows.
9. Aggiunge il valore:
"NoFind" = "1" alla sottochiave del registro: HKEY_CURRENT_USER\Software\Policies\Microsoft\CurrentVersion\Policies\Explorer per disabilitare l'accesso alla funzione di ricerca.
10. Aggiunge i valori:
"NoRun" = "1"
"NoFolderOptions" = "1" alla sottochiave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer per disabilitare l'accesso alla funzione Esegui e per impedire all'utente di modificare le opzioni delle cartelle.
11. Modifica i valori:
"DisableTaskMgr" = "1"
"DisableCMD" = "1"
"DisableRegistryTools" = "1"
nella sottochiave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System per disabilitare Windows Task Manager, il prompt dei comandi e l'Editor del registro di sistema di Windows.
12. Modifica i valori:
"HideFileExt" = "1"
"Hidden" = "2" nella sottochiave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced per nascondere le estensioni dei file.
13. Aggiunge il valore:
"RegisteredOrganization" = "mr.abram's"
alla sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
14. Tenta di riavviare il computer infetto se rileva che i seguenti programmi sono in esecuzione:
* msconfig.exe
* regedit.exe
* taskmgr.exe
* cmd.exe
* ntvdm.exe
* setup.exe
* x-raypc.exe
* rx box.exe
* processxp.exe
* hijackthis.exe
* sysmech6.exe
* integrator.exe
* rstrui.exe
* mmc.exe
* winamp.exe
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
W32.Pahatia.A è un worm che si copia nelle cartelle locali e tenta di riavviare il computer infetto se determinati processi sono in esecuzione.
COSA FA
Quando viene eseguito, W32.Pahatia.A si comporta nel modo seguente:
1. Si copia con i nomi seguenti:
* C:\Documents and Settings\All Users\Desktop\My Documents.exe * C:\Documents and Settings\All Users\Start Menu\Programs\My Documents.exe * C:\Program Files\Microsoft Office\Temp.exe * C:\WINDOWS\security\krnl32.bat * C:\WINDOWS\system\Aku Bisa Tanpamu.exe * C:\WINDOWS\system\Aku Kecewa.exe * C:\WINDOWS\system\Dibalas Dengan Dusta.exe * C:\WINDOWS\system\ISASS.exe * C:\WINDOWS\system\Kau Pikir Kaulah Segalanya.exe * C:\WINDOWS\system\LNETINFO.exe * C:\WINDOWS\system\mr.abram's.exe * C:\WINDOWS\system\Sejauh Mungkin.exe * C:\WINDOWS\system\Tak Seperti Dulu.exe * C:\WINDOWS\system\Viva Elektro.exe * C:\WINDOWS\system32\Patah_0[RANDOM].exe * C:\WINDOWS\hkcmd.exe * C:\WINDOWS\system.exe
2. Tenta di copiarsi come Dati [NOME COMPUTER].exe nelle seguenti cartella e unità:
* %UserProfile%\My Documents\
* D:\
* E:\
* F:\
* G:\
* H:\
* I:\
* J:\
* K:\
* L:\
* M:\
* N:\
* Z:\
3. Cerca nella sottocartella di %UserProfile%\My Documents e si copia come [NOME CARTELLA].exe.
4. Crea il seguente file di testo come marcatore di infezione:
C:\Patah Hati.txt
5. Si copia come il seguente file in modo da essere eseguito ad ogni avvio di Windows:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\system startup.pif
6. Aggiunge i valori:
"Patah Hati" = "C:\WINDOWS\system\ISASS.exe"
"user logon" = "C:\WINDOWS\Help\user logon.exe"
alla sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run in modo da essere sempre eseguito all'avvio di Windows.
7. Aggiunge il valore:
"HotKeysCmds" = "C:\WINDOWS\hkcmd.exe" alla sottochiave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run in modo da essere sempre eseguito all'avvio di Windows.
8. Aggiunge il valore:
"Shell" = "Explorer.exe "C:\Program Files\Microsoft Office\Temp.exe"" alla sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon in modo da essere sempre eseguito all'avvio di Windows.
9. Aggiunge il valore:
"NoFind" = "1" alla sottochiave del registro: HKEY_CURRENT_USER\Software\Policies\Microsoft\CurrentVersion\Policies\Explorer per disabilitare l'accesso alla funzione di ricerca.
10. Aggiunge i valori:
"NoRun" = "1"
"NoFolderOptions" = "1" alla sottochiave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer per disabilitare l'accesso alla funzione Esegui e per impedire all'utente di modificare le opzioni delle cartelle.
11. Modifica i valori:
"DisableTaskMgr" = "1"
"DisableCMD" = "1"
"DisableRegistryTools" = "1"
nella sottochiave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System per disabilitare Windows Task Manager, il prompt dei comandi e l'Editor del registro di sistema di Windows.
12. Modifica i valori:
"HideFileExt" = "1"
"Hidden" = "2" nella sottochiave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced per nascondere le estensioni dei file.
13. Aggiunge il valore:
"RegisteredOrganization" = "mr.abram's"
alla sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
14. Tenta di riavviare il computer infetto se rileva che i seguenti programmi sono in esecuzione:
* msconfig.exe
* regedit.exe
* taskmgr.exe
* cmd.exe
* ntvdm.exe
* setup.exe
* x-raypc.exe
* rx box.exe
* processxp.exe
* hijackthis.exe
* sysmech6.exe
* integrator.exe
* rstrui.exe
* mmc.exe
* winamp.exe
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.