Ricerche sul virus, versione 2

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2001 ml@sikurezza.org
Soggetto: Ricerche sul virus, versione 2
Mittente: Raistlin
Data: 5 Dec 2001 19:55:31 -0000

Posto quel che ieri e' rimasto troncato per un disguido tra me e il kobazzo:

Quando eseguito, il programma presenta una finestra con il messaggio:
"pentagone
coded by: suid
texted by: ThE_SKuLL and |satan|
greetings to: TraceWar, k9_unit, stef16 ^Reno
greetings also to nonick2 out
there where ever you are."

Nel frattempo, copia il file del worm nella directory di sistema di windows
come GONE.SCR, e lo autoesegue ogni volta che si avvia Windows creando una
registry key in HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Il virus fa uso del programma per chat mIRC per installare una backdoor
creando il file REMOTE32.INI che contiene uno script  che viene eseguito
ogni volta che si avvia il programma mIRC. L'autore del Worm può usare
questa estensione per avviare attacchi  Denial of Service (DOS) contro
canali o utenti con i quali l'utente infettato sta chattando. Questo
ovviamente ogni qual volta l'utente infettato e' connesso a IRC. Il worm
stesso pero' NON PARE trasmettersi mediante IRC.

Stefano "Raistlin" Zanero
System Administrator Gioco.Net
public PGP key block at http://gioco.net/pgpkeys





________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: CeckPoint_Vs_NetScreen?, mariosecure
- successivo: Re: Misurare le prestazioni di un target, Raistlin
- indice

Argomento:
- precedente: CeckPoint_Vs_NetScreen?, mariosecure
- successivo: aut katamail, Artemis
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005