W32.Areses.H@mm
Pagina 1 di 1
W32.Areses.H@mm
Admin Mer Dic 02, 2009 11:57 pm
CARTA D'IDENTITA'
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Media
Apre una porta di comunicazione nel computer e scarica dei files.
COSA FA
Una volta eseguito, W32.Areses.H@mm compie le seguenti azioni:
1. Si copia con il nome seguente:
%Windir%\csrss.exe
2. Aggiunge il valore:
"Debugger" = "[PERCORSO DEL WORM]"
alla sottochiave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
3. Aggiunge il valore:
"Application" = "[VARIABLE DWORD VALUE]"
alla sottochiave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices
4. Elimina il valore:
"BootExecute" = "autocheck autochk *"
dalla seguente sottochiave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Session Manager
5. Tenta di iniettare il proprio codice nei processi sevices.exe e svchost.exe.
6. Cerca la stringa 127.0.0.1 nella seguente sottochiave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interface\[INTERFACE CLSID]\"NameServer"
7. Crea il seguente file che contiene una copia di se stesso:
%Temp%\message.zip
8. Raccoglie gli indirizzi di e-mail dai file con le seguenti estensioni:
* .adb
* .asp
* .cfg
* .cgi
* .dbx
* .dhtm
* .eml
* .htm
* .html
* .jsp
* .mbx
* .mdx
* .mht
* .mmf
* .msg
* .nch
* .ods
* .oft
* .php
* .pl
* .sht
* .shtm
* .stm
* .tbb
* .txt
* .uin
* .wab
* .wsh
* .xls
* .xml
* .dhtml
Il worm evita gli indirizzi di e-mail che contengono una delle seguenti stringhe:
* @example.
* 2003
* 2004
* 2005
* 2006
* @hotmail
* @msn
* @microsoft
* rating@
* f-secur
* news
* update
* .qmail
* anyone@
* bugs@
* contract@
* feste
* gold-certs@
* help@
* info@
* nobody@
* noone@
* 0000
* Mailer-Daemon@
* @subscribe
* kasp
* admin
* icrosoft
* support
* ntivi
* unix
* bsd
* linux
* listserv
* certific
* torvalds@
* sopho
* @foo
* @iana
* free-av
* @messagelab
* winzip
* google
* winrar
* samples
* spm111@
* ..
* -0
* .00
* @.
* ---
* abuse
* panda
* cafee
* spam
* pgp
* @avp.
* noreply
* local
* root@
* postmaster@
9. Utilizza il proprio motore SMTP per inviarsi a tutti gli indirizzi di posta elettronica che trova. Le caratteristiche del messaggio e-mail sono le seguenti:
Da: Falsificato.
Oggetto: [RANDOM]
Messaggio: [RANDOM]
Allegato: [RANDOM]
10. Prova a mettersi in contatto con i seguenti siti Web e può tentare di scaricare un file remoto:
* [http://]85.249.23.35/m2/g.p[RIMOSSO]
* [http://]207.46.250.119/g/m.p[RIMOSSO]
* [http://]84.22.161.192/s/f[RIMOSSO]
11. Apre una porta TCP casuale nel pc.
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Media
Apre una porta di comunicazione nel computer e scarica dei files.
COSA FA
Una volta eseguito, W32.Areses.H@mm compie le seguenti azioni:
1. Si copia con il nome seguente:
%Windir%\csrss.exe
2. Aggiunge il valore:
"Debugger" = "[PERCORSO DEL WORM]"
alla sottochiave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
3. Aggiunge il valore:
"Application" = "[VARIABLE DWORD VALUE]"
alla sottochiave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices
4. Elimina il valore:
"BootExecute" = "autocheck autochk *"
dalla seguente sottochiave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Session Manager
5. Tenta di iniettare il proprio codice nei processi sevices.exe e svchost.exe.
6. Cerca la stringa 127.0.0.1 nella seguente sottochiave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interface\[INTERFACE CLSID]\"NameServer"
7. Crea il seguente file che contiene una copia di se stesso:
%Temp%\message.zip
8. Raccoglie gli indirizzi di e-mail dai file con le seguenti estensioni:
* .adb
* .asp
* .cfg
* .cgi
* .dbx
* .dhtm
* .eml
* .htm
* .html
* .jsp
* .mbx
* .mdx
* .mht
* .mmf
* .msg
* .nch
* .ods
* .oft
* .php
* .pl
* .sht
* .shtm
* .stm
* .tbb
* .txt
* .uin
* .wab
* .wsh
* .xls
* .xml
* .dhtml
Il worm evita gli indirizzi di e-mail che contengono una delle seguenti stringhe:
* @example.
* 2003
* 2004
* 2005
* 2006
* @hotmail
* @msn
* @microsoft
* rating@
* f-secur
* news
* update
* .qmail
* anyone@
* bugs@
* contract@
* feste
* gold-certs@
* help@
* info@
* nobody@
* noone@
* 0000
* Mailer-Daemon@
* @subscribe
* kasp
* admin
* icrosoft
* support
* ntivi
* unix
* bsd
* linux
* listserv
* certific
* torvalds@
* sopho
* @foo
* @iana
* free-av
* @messagelab
* winzip
* winrar
* samples
* spm111@
* ..
* -0
* .00
* @.
* ---
* abuse
* panda
* cafee
* spam
* pgp
* @avp.
* noreply
* local
* root@
* postmaster@
9. Utilizza il proprio motore SMTP per inviarsi a tutti gli indirizzi di posta elettronica che trova. Le caratteristiche del messaggio e-mail sono le seguenti:
Da: Falsificato.
Oggetto: [RANDOM]
Messaggio: [RANDOM]
Allegato: [RANDOM]
10. Prova a mettersi in contatto con i seguenti siti Web e può tentare di scaricare un file remoto:
* [http://]85.249.23.35/m2/g.p[RIMOSSO]
* [http://]207.46.250.119/g/m.p[RIMOSSO]
* [http://]84.22.161.192/s/f[RIMOSSO]
11. Apre una porta TCP casuale nel pc.
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Admin- Admin
- Messaggi : 156
Data di iscrizione : 01.12.09 -
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.