Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Informazione: è vero che W32.Erkez.D@mm è pericoloso?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Informazione: è vero che W32.Erkez.D@mm è pericoloso?

Messaggioda Michael » gio gen 13, 2005 10:35 pm

Questo virus si comporta:

Crea i file:

%System%\Norton Update.exe
C:\s.cm (un file di registro)

Nota: %System% è una variabile che fa riferimento alla cartella System. Per impostazione predefinita questa cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).


Crea copie multiple di se stesso con il seguente nome:

%System%\[8 caratteri a caso].dll


Tenta di creare i seguenti file nelle cartelle che hanno la stringa "shar" nel percorso:

winamp 5.7 new!.exe
ICQ 2005a new!.exe


Crea il mutex seguente in modo che solo una versione del worm venga eseguita immediatamente sul computer infetto:

Wxp4


Aggiunge il valore:

"Wxp4" = "%System%\Norton Update.exe"

alla chiave del Registro di sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

in modo che il worm venga eseguito ogni volta che Windows si avvia.


Crea più voci nella seguente sottochiave di registro dove le informazioni riguardanti il worm vengono memorizzate:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4


Mostra il seguente messaggio di errore:

Titolo: CRC: 04F7Bh
Messaggio: Error in packed file!


Termina i processi che hanno le stringhe seguenti nel nome:

reged
msconfig
task


Tenta di connettersi al dominio microsoft.com


Apre una backdoor sulla porta TCP 8181 e attende i comandi provenienti dall'aggressore remoto.


Cerca file .exe nelle cartelle contenenti le stringhe seguenti:

syman
viru
trend
secur
panda
cafee
sopho
kasper


Riduce le impostazioni di sicurezza tentando di terminare i processi dei file eseguibili trovati nelle cartelle qui sopra.


Raccoglie indirizzi e-mail dal computer infetto e li memorizza in più versioni del file seguente:

%System%\[nome causale].dll


Il worm recupera gli indirizzi e-mail dalla Rubrica di Windows e dai file con le estensioni seguenti:

htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb

Il worm evita gli indirizzi e-mail che contengono le seguenti stringhe:

yaho
google
win
use
info
help
admi
ebm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper


Invia una copia del worm agli indirizzi e-mail raccolti sul computer utilizzandolo come motore SMTP. L'e-mail può essere in più lingue ed ha le seguenti caratteristiche:

Da: <falsificato>

Oggetto: (Uno dei seguenti)

Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!

Messaggio: (Uno dei seguenti)

Happy HollyDays!
:) [Sender]

Kellemes Unnepeket!
:) [Sender]

Feliz Navidad!
:) [Sender]

:) [Sender]

Glaedelig Jul!
:) [Sender]

God Jul!
:) [Sender]

God Jul!
:) [Sender]

Iloista Joulua!
:) [Sender]

Naulieji Metai!
:) [Sender]

Wesolych Swiat!
:) [Sender]

Fröhliche Weihnachten!
:) [Sender]

Prettige Kerstdagen!
:) [Sender]

Veselé Vánoce!
:) [Sender]

Joyeux Noel!
:) [Sender]

Buon Natale!
:) [Sender]


Allegato: (Nome variabile con una delle estensioni seguenti)

.bat
.cmd
.com
.pif
.zip


L'immagine seguente mostra un esempio di e-mail inviata dal worm:


Immagine


(La pagina è stata copiata dal sito della Symantec, per vedere la pagina originale vai sul sito cliccando qui [nota] )
È pericoloso o pericolosissimo?

PS: Questo virus non mi piace tanto, perché ha un backdoor [XX(]
Io voglio soldi, SOLO SOLDI!!
Non me ne frega niente del monopolio!
Avatar utente
Michael
Silver Member
Silver Member
 
Messaggi: 1543
Iscritto il: mer dic 01, 2004 7:13 pm
Località: xxx

Messaggioda crazy.cat » ven gen 14, 2005 7:44 am

Qualsiasi virus che apra porte sul tuo pc perché venga comandato da altri è pericoloso.
Lo hai preso?
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Michael » ven gen 14, 2005 3:07 pm

L'altro messaggio sta più giù.
Ultima modifica di Michael il ven gen 14, 2005 3:11 pm, modificato 1 volta in totale.
Io voglio soldi, SOLO SOLDI!!
Non me ne frega niente del monopolio!
Avatar utente
Michael
Silver Member
Silver Member
 
Messaggi: 1543
Iscritto il: mer dic 01, 2004 7:13 pm
Località: xxx

Messaggioda Michael » ven gen 14, 2005 3:08 pm

No, volevo saperne di più.
Io voglio soldi, SOLO SOLDI!!
Non me ne frega niente del monopolio!
Avatar utente
Michael
Silver Member
Silver Member
 
Messaggi: 1543
Iscritto il: mer dic 01, 2004 7:13 pm
Località: xxx


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 8 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising