Telefonino.net network
Win Base Win Adv Win XP Vista Windows 7 Registri Software Manuali Humor Hardware Recensioni Blog Download Foto
INDICE NEWS NEWS WEB NEWS SOFTWARE SEGNALA NEWS CERCA NEWS »

W32/Fizzer.gen@MM



adv

[ GeForce FX 5900 Ultra ] [ Athlon XP 3200+ ]
Pubblicato da Billow il 13/05/2003 alle 00:00


Network Associates Assegna una Valutazione di Rischio Media al Worm W32/Fizzer.gen@MM

12 Maggio 2002 - Network Associates ha assegnato una valutazione di rischio media sia per gli utenti Corporate che per gli utenti Home al nuovo Worm appena scoperto. Si tratta del worm mass-mailing W32/Fizzer.gen@MM

Il worm è dotato di varie componenti e di un timer interno per avviare più processi in momenti diversi:

Il worm si auto invia agli indirizzi prelevati in più punti:


    Lista dei contatti di Outlook
    Windows Address Book (WAB)
    Indirizzi trovati sui sistemi locali
    Indirizzi creati a caso
    IRC bot (Internet Relay Chat)
    AIM bot (AOL Instant Messenger)
    Keylogger
    KaZaa worm
    HTTP server
    Remote access server
    Meccanismi di auto-aggiornamento
    Anti-virus software termination



Il worm contiene un proprio motore SMTP e utilizza il server SMTP di default come specificato nel setting dell'Internet Account Manager. Ma può anche servirsi di uno delle svariate centinaia di server SMTP esterni.
Il worm perviene nelle caselle di posta elettronica sotto forma di allegato con diverse tipologie di messaggio. L'indirizzo del mittente può essere modificato cosicché il messaggio sembra provenire da altri mittenti. il corpo del messaggio e l'oggetto possono variare come anche il nome degli allegati.

Gli allegati hanno un'estensione eseguibile standard (.com, .exe, .pif, .scr). Alcuni esempi di messaggio:

    Oggetto: why?
    Corpo: The peace
    Allegato: desktop.scr
    Oggetto: Re: You might not appreciate this...
    Corpo: lautlach
    Allegato: service.scr



Una volta aperto l'allegato, il worm si attiva estraendo i file dalla directory di Windows (%WinDir%)
Come si propaga:
Dopo qualche minuto, il worm aziona il proprio motore SMTP per auto inviarsi a tutti gli indirizzi presenti sulla rubrica di Outlook. Si auto-invia inoltre a indirizzi creati a caso.

In questo modo:

    - Parte 1
    Nome a caso (dalla lista interna)
    - Parte 2
    Numero a caso (opzionale)
    - Parte 3
    Scelta di un dominio a caso (dalla lista interna)
    aol.com
    earthlink.com
    gte.net
    hotmail.com
    juno.com
    msn.com
    netzero.com
    yahoo.com

L'oggetto e il corpo del messaggio sono costituiti da una lista estesa di parole e frasi in Inglese e in Tedesco.

Il nome dell'allegato è tratto anch'esso da una lista di sostantivi seguiti da un numero e successivamente dall'estensione .com, .exe, .pif, or .scr. Inoltre i nomi dei file possono essere scelti copiando il nome di un file valido che si trovi sulla macchina infettata del mittente (ie.desktop.ini -> desktop.scr).


tnx to Network associates

Leggi il Thread sul forum
  • Maggiori info



  • Segnala su: Ok Notizie Technorati Digg Delicious FriendFeed UpNews Segnalo Yahoo Google News Windows Live Twitter MySpace Facebook
    Commenta la altre news
     In evidenza Spia chiunque tramite cavo USB
    [ GeForce FX 5900 Ultra ] [ Athlon XP 3200+ ]