W32.Amirecivel.F@mm
Pagina 1 di 1
W32.Amirecivel.F@mm
Admin Gio Dic 03, 2009 12:04 am
CARTA D'IDENTITA'
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
W32.Amirecivel.F@mm è un worm che si propaga attraverso gli indirizzi e-mail nella rubrica del computer infetto.
COSA FA
Quando viene eseguito, W32.Amirecivel.F@mm si comporta nel modo seguente:
1. Crea il file seguente:
%System%\WinServicces.cab.bak.exe
2. Aggiunge il valore:
"SadNet3" = "%System%\WinServicces.cab.bak.exe"
alla sottochiave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
in modo da essere eseguito ogni volta all'avvio di Windows:
3. Aggiunge il valore:
"SadNet3" = "(_-oO]xX|-|S|-|a|-|d|-|N|-|e|-|t|-|Xx[Oo-_)!"
alla sottochiave del registro:
HKEY_CURRENT_USER\SadNet3
4. Crea i file seguenti nel tentativo di diffondersi attraverso le reti di condivisione file:
* AmirCivil.pif
* avg.pif
* mail.dll.exe
* Mcafee.exe
* Nod32.cmd
* Norton.exe
* ScreenSaver.scr
* Services.pif
* vista.exe
* winamp.exe
5. Si copia con i nomi seguenti:
* C:\Program Files\eMule\Incoming\symantec.cmd
* C:\Program Files\Gnucleus\Downloads\AnyDVD.v6.0.0.4.Cracked-RES.by.Warez.exe
* C:\Program Files\Kazaa\My Shared Folder\winampa.dll.pif
* C:\Program Files\Kazaa\My Shared Folder\winampa.dll.pif
* C:\Program Files\Kazaa\My Shared Folder\winampa.dll.pif
* C:\Program Files\StreamCast\Morpheus\My Shared Folder\winampa.dll.pif
* D:\Program Files\eMule\Incoming\symantec.cmd
* D:\Program Files\Gnucleus\Downloads\AnyDVD.v6.0.0.4.Cracked-RES.by.Warez.exe
* D:\Program Files\Kazaa\My Shared Folder\project.exe
* D:\Program Files\Kazaa\My Shared Folder\project.exe
* D:\Program Files\Kazaa\My Shared Folder\winampa.dll.pif
* D:\Program Files\StreamCast\Morpheus\My Shared Folder\winampa.dll.pif
* E:\Program Files\eMule\Incoming\symantec.cmd
* E:\Program Files\Gnucleus\Downloads\AnyDVD.v6.0.0.4.Cracked-RES.by.Warez.exe
* E:\Program Files\Kazaa\My Shared Folder\screen_saver!.scr
* E:\Program Files\Kazaa\My Shared Folder\screen_saver!.scr
* E:\Program Files\Kazaa\My Shared Folder\winampa2.dll.pif
* E:\Program Files\StreamCast\Morpheus\My Shared Folder\winampa.dll.pif
* F:\Program Files\Kazaa\My Shared Folder\winlogon.dll.exe
* F:\Program Files\Kazaa\My Shared Folder\winlogon.dll.exe
* H:\Program Files\Kazaa\My Shared Folder\fun.pic.scr
* H:\Program Files\Kazaa\My Shared Folder\fun.pic.scr
* J:\Program Files\Kazaa\My Shared Folder\SkyNetAntiVirus.doc.cmd
* J:\Program Files\Kazaa\My Shared Folder\SkyNetAntiVirus.doc.cmd
6. Raccoglie indirizzi di e-mail da tutti i file .txt e .html situati nelle unità seguenti:
* C
* D
* E
* G
* F
7. Invia una copia di sé in un'e-mail con le seguenti caratteristiche:
Da:
(Uno dei seguenti)
* avg@yahoo.com
* bill@yahoo.com
* bob@yahoo.com
* ebook@yahoo.com
* info@yahoo.com
* LongShot@yahoo.com
* mail@yahoo.com
* matt@yahoo.com
* mcafee@yahoo.com
* nod32@yahoo.com
* panda@yahoo.com
* password@yahoo.com
* pic@yahoo.com
* smith@yahoo.com
* stan@yahoo.com
* steve@yahoo.com
* symantec@yahoo.com
* ted@yahoo.com
* update@yahoo.com
* YourFriend@yahoo.com
Oggetto:
(Uno dei seguenti)
* Cum a murit Papa?
* E-mail account disabling warning
* E-mail technical support message.
* E-mail warning
* Email account utilization warning.
* Encrypted document
* Fax Message
* Fax Message Received
* Important bill!
* IranSare2008
* Message Notify
* NOD32
* Norton!
* Pentru Ionel
* Protected message
* Text message
* Yahoo!
* mcafee
Corpo del messaggio:
(Uno dei seguenti)
* another pic, have fun! ... :->
* classroom test of you?
* Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din Irak anul acesta?Deschideti programul Vot, alegeti votul dvs. si vedeti rezultatele.Parerea dvs. conteaza!
* Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din Irak anul acesta?Deschideti programul Vot, alegeti votul dvs. si vedeti rezultatele.Parerea dvs. conteaza!
* hello! i'm your long, lost friend...
* hi, friend... here are some nice stuffs that i got from the internet... check it out...
* hmmmn... i guess you've forgotten me... but anyways, i wanna make up... here are the files that made me like the internet more... see for yourself...
* i hope thats not true!
* i want you to know how much i care for you...
* i've got cool stuffs here...
* Ioana, sex in grup in camin. Cred ca o stii si kindness is a virtue...
* Message Error
* nice stuffs i got here...
* old photos about you?
* one of the files is a virus... can you tell me which one is it? hehehe, i'm only joking... your friend, paul..
* sharing files is the essence of living... check this out...
* the information is wrong!
* three files for you to keep... always remember that i'm into deep... i don't know you but i think i'm in love...
* you know amir_civil?!
Allegato:
(Uno dei seguenti)
* AmirCivil.pic.cmd
* fullmessenger.exe
* readme.html.cmd
* register.pif
* sexy-screensaver.scr
8. Termina tutti i processi con i seguenti nomi:
* ACKWIN32
* AD-AWARE
* ADAWARE
* ADVXDWIN
* AGENTSVR
* AGENTW
* ANTIVIR
* ANTIVIRUS
* ANTS
* APIMONITOR
* APLICA32
* ARR
* AUPDATE
* AUTODOWN
* AUTOTRACE
* AV32
* AVE32
* AVGCC32
* AVGCTRL
* AVGNT
* AVKSERV
* Babylon
* CFINET
* CLEANPC
* CTRL
* DATEMANAGER
* DOORS
* DPFSETUP
* EXCEL
* F-AGNT95
* FCH32
* FNRB32
* GhostTray
* IOMON98
* LU32
* NAVAP32
* NAVW3
* NAVW32
* NETD32
* NETMON
* NOD32
* NORMIST
* notepad
* NPROTECTED
* POP3TRAP
* POWERPNT
* realplay
* regedit
* SCAN32
* taskmgr
* TCM
* vb6
* W9X
* WINWORD
* ZONEALARM
9. Visualizza una finestra di messaggio che chiede all'utente di arrestare il computer. Se l'utente fa clic su Sì, il computer si arresterà. Il messaggio viene visualizzato ogni 90 secondi fino a che non si fa clic su Sì per arrestare il computer.
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
W32.Amirecivel.F@mm è un worm che si propaga attraverso gli indirizzi e-mail nella rubrica del computer infetto.
COSA FA
Quando viene eseguito, W32.Amirecivel.F@mm si comporta nel modo seguente:
1. Crea il file seguente:
%System%\WinServicces.cab.bak.exe
2. Aggiunge il valore:
"SadNet3" = "%System%\WinServicces.cab.bak.exe"
alla sottochiave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
in modo da essere eseguito ogni volta all'avvio di Windows:
3. Aggiunge il valore:
"SadNet3" = "(_-oO]xX|-|S|-|a|-|d|-|N|-|e|-|t|-|Xx[Oo-_)!"
alla sottochiave del registro:
HKEY_CURRENT_USER\SadNet3
4. Crea i file seguenti nel tentativo di diffondersi attraverso le reti di condivisione file:
* AmirCivil.pif
* avg.pif
* mail.dll.exe
* Mcafee.exe
* Nod32.cmd
* Norton.exe
* ScreenSaver.scr
* Services.pif
* vista.exe
* winamp.exe
5. Si copia con i nomi seguenti:
* C:\Program Files\eMule\Incoming\symantec.cmd
* C:\Program Files\Gnucleus\Downloads\AnyDVD.v6.0.0.4.Cracked-RES.by.Warez.exe
* C:\Program Files\Kazaa\My Shared Folder\winampa.dll.pif
* C:\Program Files\Kazaa\My Shared Folder\winampa.dll.pif
* C:\Program Files\Kazaa\My Shared Folder\winampa.dll.pif
* C:\Program Files\StreamCast\Morpheus\My Shared Folder\winampa.dll.pif
* D:\Program Files\eMule\Incoming\symantec.cmd
* D:\Program Files\Gnucleus\Downloads\AnyDVD.v6.0.0.4.Cracked-RES.by.Warez.exe
* D:\Program Files\Kazaa\My Shared Folder\project.exe
* D:\Program Files\Kazaa\My Shared Folder\project.exe
* D:\Program Files\Kazaa\My Shared Folder\winampa.dll.pif
* D:\Program Files\StreamCast\Morpheus\My Shared Folder\winampa.dll.pif
* E:\Program Files\eMule\Incoming\symantec.cmd
* E:\Program Files\Gnucleus\Downloads\AnyDVD.v6.0.0.4.Cracked-RES.by.Warez.exe
* E:\Program Files\Kazaa\My Shared Folder\screen_saver!.scr
* E:\Program Files\Kazaa\My Shared Folder\screen_saver!.scr
* E:\Program Files\Kazaa\My Shared Folder\winampa2.dll.pif
* E:\Program Files\StreamCast\Morpheus\My Shared Folder\winampa.dll.pif
* F:\Program Files\Kazaa\My Shared Folder\winlogon.dll.exe
* F:\Program Files\Kazaa\My Shared Folder\winlogon.dll.exe
* H:\Program Files\Kazaa\My Shared Folder\fun.pic.scr
* H:\Program Files\Kazaa\My Shared Folder\fun.pic.scr
* J:\Program Files\Kazaa\My Shared Folder\SkyNetAntiVirus.doc.cmd
* J:\Program Files\Kazaa\My Shared Folder\SkyNetAntiVirus.doc.cmd
6. Raccoglie indirizzi di e-mail da tutti i file .txt e .html situati nelle unità seguenti:
* C
* D
* E
* G
* F
7. Invia una copia di sé in un'e-mail con le seguenti caratteristiche:
Da:
(Uno dei seguenti)
* avg@yahoo.com
* bill@yahoo.com
* bob@yahoo.com
* ebook@yahoo.com
* info@yahoo.com
* LongShot@yahoo.com
* mail@yahoo.com
* matt@yahoo.com
* mcafee@yahoo.com
* nod32@yahoo.com
* panda@yahoo.com
* password@yahoo.com
* pic@yahoo.com
* smith@yahoo.com
* stan@yahoo.com
* steve@yahoo.com
* symantec@yahoo.com
* ted@yahoo.com
* update@yahoo.com
* YourFriend@yahoo.com
Oggetto:
(Uno dei seguenti)
* Cum a murit Papa?
* E-mail account disabling warning
* E-mail technical support message.
* E-mail warning
* Email account utilization warning.
* Encrypted document
* Fax Message
* Fax Message Received
* Important bill!
* IranSare2008
* Message Notify
* NOD32
* Norton!
* Pentru Ionel
* Protected message
* Text message
* Yahoo!
* mcafee
Corpo del messaggio:
(Uno dei seguenti)
* another pic, have fun! ... :->
* classroom test of you?
* Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din Irak anul acesta?Deschideti programul Vot, alegeti votul dvs. si vedeti rezultatele.Parerea dvs. conteaza!
* Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din Irak anul acesta?Deschideti programul Vot, alegeti votul dvs. si vedeti rezultatele.Parerea dvs. conteaza!
* hello! i'm your long, lost friend...
* hi, friend... here are some nice stuffs that i got from the internet... check it out...
* hmmmn... i guess you've forgotten me... but anyways, i wanna make up... here are the files that made me like the internet more... see for yourself...
* i hope thats not true!
* i want you to know how much i care for you...
* i've got cool stuffs here...
* Ioana, sex in grup in camin. Cred ca o stii si kindness is a virtue...
* Message Error
* nice stuffs i got here...
* old photos about you?
* one of the files is a virus... can you tell me which one is it? hehehe, i'm only joking... your friend, paul..
* sharing files is the essence of living... check this out...
* the information is wrong!
* three files for you to keep... always remember that i'm into deep... i don't know you but i think i'm in love...
* you know amir_civil?!
Allegato:
(Uno dei seguenti)
* AmirCivil.pic.cmd
* fullmessenger.exe
* readme.html.cmd
* register.pif
* sexy-screensaver.scr
8. Termina tutti i processi con i seguenti nomi:
* ACKWIN32
* AD-AWARE
* ADAWARE
* ADVXDWIN
* AGENTSVR
* AGENTW
* ANTIVIR
* ANTIVIRUS
* ANTS
* APIMONITOR
* APLICA32
* ARR
* AUPDATE
* AUTODOWN
* AUTOTRACE
* AV32
* AVE32
* AVGCC32
* AVGCTRL
* AVGNT
* AVKSERV
* Babylon
* CFINET
* CLEANPC
* CTRL
* DATEMANAGER
* DOORS
* DPFSETUP
* EXCEL
* F-AGNT95
* FCH32
* FNRB32
* GhostTray
* IOMON98
* LU32
* NAVAP32
* NAVW3
* NAVW32
* NETD32
* NETMON
* NOD32
* NORMIST
* notepad
* NPROTECTED
* POP3TRAP
* POWERPNT
* realplay
* regedit
* SCAN32
* taskmgr
* TCM
* vb6
* W9X
* WINWORD
* ZONEALARM
9. Visualizza una finestra di messaggio che chiede all'utente di arrestare il computer. Se l'utente fa clic su Sì, il computer si arresterà. Il messaggio viene visualizzato ogni 90 secondi fino a che non si fa clic su Sì per arrestare il computer.
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Admin- Admin
- Messaggi : 156
Data di iscrizione : 01.12.09 -
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.