W32.Mytob.QA@mm
Pagina 1 di 1
W32.Mytob.QA@mm
Admin Mer Dic 02, 2009 11:45 pm
CARTA D'IDENTITA'
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
E' un worm che apre una porta di comunicazione con l'esterno nel pc in cui si trova.
COSA FA
Quando viene eseguito, W32.Mytob.QA@mm si comporta nel modo seguente:
1. Crea i file seguenti:
%System%\windows.exe
2. Aggiunge il valore:
"Windows System" = "\windows.exe" alle sottochiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices
in modo da essere sempre eseguito all'avvio di Windows.
3. Utilizza il proprio motore SMTP per inviare un'e-mail contenente un collegamento nocivo agli indirzizi e-amil raccolti. Le caratteristiche del messaggio e-mail sono le seguenti:
Da:
* spm@[DOMINIO_CASUALE]
* fcnz@[DOMINIO_CASUALE]
* www@[DOMINIO_CASUALE]
* secur@[DOMINIO_CASUALE]
* abuse@[DOMINIO_CASUALE]
Il worm può anche falsificare uno degli indirizzi di e-mail trovati sul computer.
Oggetto:
Uno dei seguenti:
* Account Alert
* [STRINGA CASUALE]
Corpo del messaggio:
Dear Valued Member,
According to our terms of services, you will have to confirm your e-mail by the following link, or your account will be suspended within 24 hours for security reasons. http:///www.[DOMAIN]/confirm.php?account=[E-MAIL]
After following the instructions in the sheet, your account will not be interrupted and will continue as normal.
Thanks for your attention to this request. We apologize for any inconvenience.
Sincerely, [RANDOM NAME] Abuse Department
The URL embedded in the mail contains the following link to a copy of the worm: [http://]195.62.161.83/Confirmatio[RIMOSSO]
4. Raccoglie gli indirizzi e-mail dai file con le seguenti estensioni sulle unità locali:
* .txt
* .htmb
* .shtl
* .jspl
* .cgil
* .xmls
* .phpq
* .aspd
* .dbxn
* .tbbg
* .adbh
* .html
* .wab
5. Aggiunge i seguenti prefissi ai nomi di dominio nel tentativo di trovare i server Simple Mail Transfer Protocol (SMTP):
* mx.
* mail.
* smtp.
* mx1.
* mxs.
* mail1.
* relay.
* ns.
* gate.
6. Evita di inviare e-mail agli indirizzi con le seguenti stringhe:
* mcafee
* symantec
* sophos
* bitdefender
* avg
* kaspersky
* avast
* nod32
* vba32
* antivir
* avira
* cat-quickheal
* clamav
* drweb
* f-prot
* etrust
* fortinet
* ikarus
* norman
* panda
* thehacker
* ewido
7. Apre una back door collegandosi al server mail.thinki.co.uk sulla porta TCP 8585. Il worm si connette al canale #new e si mette in attesa dei comandi dell'utente remoto, ad esempio:
* Comandi IRC
* Invio di e-mail
* Download di file
* Recupero delle informazioni confidenziali sul computer
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
E' un worm che apre una porta di comunicazione con l'esterno nel pc in cui si trova.
COSA FA
Quando viene eseguito, W32.Mytob.QA@mm si comporta nel modo seguente:
1. Crea i file seguenti:
%System%\windows.exe
2. Aggiunge il valore:
"Windows System" = "\windows.exe" alle sottochiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices
in modo da essere sempre eseguito all'avvio di Windows.
3. Utilizza il proprio motore SMTP per inviare un'e-mail contenente un collegamento nocivo agli indirzizi e-amil raccolti. Le caratteristiche del messaggio e-mail sono le seguenti:
Da:
* spm@[DOMINIO_CASUALE]
* fcnz@[DOMINIO_CASUALE]
* www@[DOMINIO_CASUALE]
* secur@[DOMINIO_CASUALE]
* abuse@[DOMINIO_CASUALE]
Il worm può anche falsificare uno degli indirizzi di e-mail trovati sul computer.
Oggetto:
Uno dei seguenti:
* Account Alert
* [STRINGA CASUALE]
Corpo del messaggio:
Dear Valued Member,
According to our terms of services, you will have to confirm your e-mail by the following link, or your account will be suspended within 24 hours for security reasons. http:///www.[DOMAIN]/confirm.php?account=[E-MAIL]
After following the instructions in the sheet, your account will not be interrupted and will continue as normal.
Thanks for your attention to this request. We apologize for any inconvenience.
Sincerely, [RANDOM NAME] Abuse Department
The URL embedded in the mail contains the following link to a copy of the worm: [http://]195.62.161.83/Confirmatio[RIMOSSO]
4. Raccoglie gli indirizzi e-mail dai file con le seguenti estensioni sulle unità locali:
* .txt
* .htmb
* .shtl
* .jspl
* .cgil
* .xmls
* .phpq
* .aspd
* .dbxn
* .tbbg
* .adbh
* .html
* .wab
5. Aggiunge i seguenti prefissi ai nomi di dominio nel tentativo di trovare i server Simple Mail Transfer Protocol (SMTP):
* mx.
* mail.
* smtp.
* mx1.
* mxs.
* mail1.
* relay.
* ns.
* gate.
6. Evita di inviare e-mail agli indirizzi con le seguenti stringhe:
* mcafee
* symantec
* sophos
* bitdefender
* avg
* kaspersky
* avast
* nod32
* vba32
* antivir
* avira
* cat-quickheal
* clamav
* drweb
* f-prot
* etrust
* fortinet
* ikarus
* norman
* panda
* thehacker
* ewido
7. Apre una back door collegandosi al server mail.thinki.co.uk sulla porta TCP 8585. Il worm si connette al canale #new e si mette in attesa dei comandi dell'utente remoto, ad esempio:
* Comandi IRC
* Invio di e-mail
* Download di file
* Recupero delle informazioni confidenziali sul computer
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Admin- Admin
- Messaggi : 156
Data di iscrizione : 01.12.09 -
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.