Ecco Palyh, il virus che “scade” a fine mese

Sta circolando in rete un nuovo worm che cesserà i suoi effetti tra due settimane. Utilizza come mittente l’indirizzo di posta “support@microsoft.com”

19 maggio 2003 Da vari produttori di antivirus arriva la segnalazione
di un nuovo worm di mass mailing al quale è stata assegnata una valutazione
di rischio media.

Il worm W32/Palyh@Mm (alias: W32.Hllm.Ccn, W32.Hllw.Manx@mm)
si propaga tramite posta elettronica e risorse condivise, attraverso un motore
Smtp.

Gli indirizzi utilizzati vengono estratti dai file presenti sul pc infetto con
le seguenti estensioni: Wab, Dbx Htm, Html, Eml, Txt.

Il worm può arrivare con un messaggio di posta elettronica con le seguenti caratteristiche:


il mittente è sempre lo stesso (support@microsoft.com) così
come sempre uguale è il contenuto del testo (All information is in the attached
file). L’oggetto invece può variare con i termini elencati di seguito:

– Re: My application

– Re: Movie
– Cool screensaver

– Screensaver

– Re: My details

– Your password

– Re: Approved (Red. 3394-65467)

– Approved (Ref. 38446-263)

– Your details


Allegati: Similmente al worm W32/Sobig@MM si può propogare
con un’estensione “.PI” (invece che “.PIF”): approved.pif, ref-394755.pif, password.pif,
ref-394755.pif, application.pif, screen_doc.pif, screen_temp.pif, movie28.pif,
download1053122425102485703.uue, doc_details.pif, _approved.pif



Se lanciato, il worm copia sè stesso nella directory di Windows con il
nome “msccn32.exe” e aggiunge la seguente riga nel registry: HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
“System Tray”=”C:\\WINDOWS\\MSCCN32.EXE” in modo che venga
lanciato a ogni avvio del computer. Il worm è in grado di scaricare file
dal Web (anche virus trojan) e di eseguirli.



La particolarità di questo Worm è si tratta di un worm “a scadenza”:
è infatti programmato per non propagarsi più dopo il 31 maggio 2003.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome