Network Associates Assegna una Valutazione di Rischio Media al Worm W32/Fizzer.gen@MM
12 Maggio 2002 - Network Associates ha assegnato una valutazione di rischio media sia per gli utenti Corporate che per gli utenti Home al nuovo Worm appena scoperto. Si tratta del worm mass-mailing W32/Fizzer.gen@MM
Il worm è dotato di varie componenti e di un timer interno per avviare più processi in momenti diversi:
Il worm si auto invia agli indirizzi prelevati in più punti:
Lista dei contatti di Outlook
Windows Address Book (WAB)
Indirizzi trovati sui sistemi locali
Indirizzi creati a caso
IRC bot (Internet Relay Chat)
AIM bot (AOL Instant Messenger)
Keylogger
KaZaa worm
HTTP server
Remote access server
Meccanismi di auto-aggiornamento
Anti-virus software termination
Il worm contiene un proprio motore SMTP e utilizza il server SMTP di default come specificato nel setting dell'Internet Account Manager. Ma può anche servirsi di uno delle svariate centinaia di server SMTP esterni.
Il worm perviene nelle caselle di posta elettronica sotto forma di allegato con diverse tipologie di messaggio. L'indirizzo del mittente può essere modificato cosicché il messaggio sembra provenire da altri mittenti. il corpo del messaggio e l'oggetto possono variare come anche il nome degli allegati.
Gli allegati hanno un'estensione eseguibile standard (.com, .exe, .pif, .scr). Alcuni esempi di messaggio:
Oggetto: why?
Corpo: The peace
Allegato: desktop.scr
Oggetto: Re: You might not appreciate this...
Corpo: lautlach
Allegato: service.scr
Una volta aperto l'allegato, il worm si attiva estraendo i file dalla directory di Windows (%WinDir%)
Come si propaga:
Dopo qualche minuto, il worm aziona il proprio motore SMTP per auto inviarsi a tutti gli indirizzi presenti sulla rubrica di Outlook. Si auto-invia inoltre a indirizzi creati a caso.
In questo modo:
- Parte 1
Nome a caso (dalla lista interna)
- Parte 2
Numero a caso (opzionale)
- Parte 3
Scelta di un dominio a caso (dalla lista interna)
aol.com
earthlink.com
gte.net
hotmail.com
juno.com
msn.com
netzero.com
yahoo.com
L'oggetto e il corpo del messaggio sono costituiti da una lista estesa di parole e frasi in Inglese e in Tedesco.
Il nome dell'allegato è tratto anch'esso da una lista di sostantivi seguiti da un numero e successivamente dall'estensione .com, .exe, .pif, or .scr. Inoltre i nomi dei file possono essere scelti copiando il nome di un file valido che si trovi sulla macchina infettata del mittente (ie.desktop.ini -> desktop.scr).
tnx to Network associates
Leggi il Thread sul forum
Maggiori info
|