W32.Lecna.A
Pagina 1 di 1
W32.Lecna.A
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
Questo worm tenta di sfruttare la vulnerabilità Microsoft Windows Local Security Authority Service Remote Buffer Overflow. Il worm apre una porta di comunicazione nel vostro pc e scarica file malevoli nascondendosi nel computer.
COSA FA
Una volta eseguito, W32.Lecna.A compie le seguenti azioni:
1. Crea i file:
* %System%\iexplore.exe
* %System%\drivers\MiniPCI.sys (Componente rootkit)
* %Windir%\DriverNum.dat
2. Aggiunge il valore:
"iexplore.exe" = "iexplore.exe" alla sottochiave del registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run in modo da essere eseguito ogni volta all'avvio di Windows.
3. Aggiunge i valori:
"hostid" = "[NUMERO CASUALE]" "pid" = "[DATI CIFRATI]" alla sottochiave del registro: HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentNetInf
4. Modifica il valore:
"forceguest" = "0" alla sottochiave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
5. Contatta i seguenti siti Web e scarica dei file:
* www.flyeagles.com/restore/app*****
* www.flyeagles.com/restore/myap*****
* www.flyeagles.com/restore/exe*****
* www.flyeagles.com/restore/ver*****
* www.flyeagles.com/restore/hostli*****
* www.flyeagles.com/restore/dizh*****
* www.flyeagles.com/restore/conne*****
6. Scarica i propri aggiornamenti.
7. Apre una porta sul computer e permette a un aggressore di compiere le seguenti azioni:
* Elencare, eliminare, scaricare ed eseguire file
* Elencare e terminare processi
* Enumerare i computer di rete
* Sfruttare la vulnerabilità Microsoft Windows LSASS, su altri computer
* Disinstallarsi
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
Questo worm tenta di sfruttare la vulnerabilità Microsoft Windows Local Security Authority Service Remote Buffer Overflow. Il worm apre una porta di comunicazione nel vostro pc e scarica file malevoli nascondendosi nel computer.
COSA FA
Una volta eseguito, W32.Lecna.A compie le seguenti azioni:
1. Crea i file:
* %System%\iexplore.exe
* %System%\drivers\MiniPCI.sys (Componente rootkit)
* %Windir%\DriverNum.dat
2. Aggiunge il valore:
"iexplore.exe" = "iexplore.exe" alla sottochiave del registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run in modo da essere eseguito ogni volta all'avvio di Windows.
3. Aggiunge i valori:
"hostid" = "[NUMERO CASUALE]" "pid" = "[DATI CIFRATI]" alla sottochiave del registro: HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentNetInf
4. Modifica il valore:
"forceguest" = "0" alla sottochiave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
5. Contatta i seguenti siti Web e scarica dei file:
* www.flyeagles.com/restore/app*****
* www.flyeagles.com/restore/myap*****
* www.flyeagles.com/restore/exe*****
* www.flyeagles.com/restore/ver*****
* www.flyeagles.com/restore/hostli*****
* www.flyeagles.com/restore/dizh*****
* www.flyeagles.com/restore/conne*****
6. Scarica i propri aggiornamenti.
7. Apre una porta sul computer e permette a un aggressore di compiere le seguenti azioni:
* Elencare, eliminare, scaricare ed eseguire file
* Elencare e terminare processi
* Enumerare i computer di rete
* Sfruttare la vulnerabilità Microsoft Windows LSASS, su altri computer
* Disinstallarsi
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.