W32.Lecna.A

Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile

Questo worm tenta di sfruttare la vulnerabilità Microsoft Windows Local Security Authority Service Remote Buffer Overflow. Il worm apre una porta di comunicazione nel vostro pc e scarica file malevoli nascondendosi nel computer.

COSA FA

Una volta eseguito, W32.Lecna.A compie le seguenti azioni:

1. Crea i file:
* %System%\iexplore.exe
* %System%\drivers\MiniPCI.sys (Componente rootkit)
* %Windir%\DriverNum.dat

2. Aggiunge il valore:
"iexplore.exe" = "iexplore.exe" alla sottochiave del registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run in modo da essere eseguito ogni volta all'avvio di Windows.

3. Aggiunge i valori:
"hostid" = "[NUMERO CASUALE]" "pid" = "[DATI CIFRATI]" alla sottochiave del registro: HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentNetInf

4. Modifica il valore:
"forceguest" = "0" alla sottochiave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

5. Contatta i seguenti siti Web e scarica dei file:
* www.flyeagles.com/restore/app*****
* www.flyeagles.com/restore/myap*****
* www.flyeagles.com/restore/exe*****
* www.flyeagles.com/restore/ver*****
* www.flyeagles.com/restore/hostli*****
* www.flyeagles.com/restore/dizh*****
* www.flyeagles.com/restore/conne*****

6. Scarica i propri aggiornamenti.

7. Apre una porta sul computer e permette a un aggressore di compiere le seguenti azioni:
* Elencare, eliminare, scaricare ed eseguire file
* Elencare e terminare processi
* Enumerare i computer di rete
* Sfruttare la vulnerabilità Microsoft Windows LSASS, su altri computer
* Disinstallarsi

COME RIMUOVERLO

1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.