Fw: RED ALERT TREND MICRO WORM

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2001 ml@sikurezza.org
Soggetto: Fw: RED ALERT TREND MICRO WORM_GONE.A
Mittente: Raistlin
Data: 5 Dec 2001 01:09:19 -0000

Trend Micro rilascia l'allerta Virus

WORM_GONE.A classificato come ALTO RISCHIO


Milano, Italia, 4 Dicembre 2001.  Trend Micro (Nasdaq: TMIC, TSE: 4704), un
leader mondiale in antivirus per reti e soluzioni per la sicurezza dei
contenuti avverte gli utenti della veloce diffusione di un worm noto come
WORM_GONE.A.

Questo Worm arriva via email come attachment GONE.SCR.  Il file è compresso
usando il programma UPX ed è compilato usando Visual Basic.

I dettagli della  email con cui questo Worm arriva sono i seguenti :
Soggetto: Hi
Corpo:
How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!
Attachment: GONE.SCR

Quando eseguito, il programma presenta questa finestra:



Copia il worm file in %System%\GONE.SCR, e lo autoesegue ogni volta che si
avvia Windows creando il registry key:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\%System%\gone.scr =
%System%\gone.scr.

Il virus fa uso del programma per chat mIRC per installare una backdoor
creando il file REMOTE.INI che contiene uno script  che viene eseguito ogni
volta che si avvia il programma mIRC. L'autore del Worm può usare questa
estensione per avviare attacchi  Denial of Service (DOS) nei canali IRC  e
tutti gli utenti connessi con lo stesso canale IRC vengono infettati.
Il Worm inoltre si propaga attraverso l'applicazione chat ICQ. Usa ICQAPI
per inviare una copia di sè stesso a tutti gli utenti in linea.
Il Worm contiene un payload distruttivo , che ricerca la memoria  per certe
applicazioni, (inclusi alcuni personal firewalls e alcuni software
antivirus) come segue:
* IAMAPP.EXE
* IAMSERV.EXE
* CFINET.EXE
* APLICA32.EXE
* ZONEALARM.EXE
* ESAFE.EXE
* CFIADMIN.EXE
* CFIAUDIT.EXE
* CFINET32.EXE
* PCFWALLICON.EXE
* FRW.EXE
* VSHWIN32.EXE
* VSECOMR.EXE
* WEBSCANX.EXE
* AVCONSOL.EXE
* VSSTAT.EXE
* NAVAPW32.EXE
* NAVW32.EXE
* _AVP32.EXE
* _AVPCC.EXE
* _AVPM.EXE
* AVP32.EXE
* AVPCC.EXE
* AVPM.EXE
* AVP.EXE
* ICLOAD95.EXE
* ICMON.EXE
* ICSUPP95.EXE
* ICLOADNT.EXE
* ICSUPPNT.EXE
* TDS2-98.EXE
* TDS2-NT.EXE
* SAFEWEB.EXE
Quando trova uno dei file sopraccitati in memoria, termina il loro processo.
Cancella inoltre tutti i files nella directory dove il file trovato è
situato. Questa routine disabilita le applicazioni e ne impedisce il pieno
funzionamento


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: ssh 3.0.0, Luca Berra
- successivo: Re: ssh 3.0.0, NeMeS||y
- indice

Argomento:
- precedente: Re: Okkio...nuovo virus!, Andrea Mennini
- successivo: PGP II, Fausto Pasqualetti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005