 |
 |
 |
|
 |
 |
 |
|
 |
|||
|
||||||||||||||||||||||||||
| I-WORM.GONER |
|
|||||
Tutte le informazioni sono state raccole da esperienze personali e dall'AVP Virus Encyclopedia. E' un worm scritto in Visual Basic 6.0, diffusosi dal 4 dicembre 2001, e di dimensioni di circa 38 KB. COME INFETTA IL TUO PC Il worm una volta eseguito mostra una finestra nella quale compare il seguente messaggio: pentagone coded by: suid tested by: ThE_SKuLL and satan greetings to: TraceWar, k9-unit, stef16, ^Reno. greetings also to nonick2 out there where ever you are Quindi simulando un errore "Error While Analyze DirectX!" esegue la sua installazione, copiandosi nella cartella SYSTEM di Windows con il nome gone.scr. Il worm modifica quindi il registro di sistema tentando di cancellare i file relativi ai prodotti antivirus e firewall più diffusi, e creando per eseguirsi automaticamente al riavvio la stringa seguente: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run\C:\WINDOWS\SYSTEM\GONE.SCR =C:\WINDOWS\SYSTEM\GONE.SCR COME FUNZIONA Il worm può diffonde attraverso Outlook e ICQ. Come tutti i worm invia se stesso agli indirizzi presenti nella rubrica di Outlook, sotto forma di file gone.scr allegato alle email. I messaggi hanno per oggetto "Hi", e il corpo è costituito dal messaggio in inglese "How are you? When I saw this screen saver, I immediately thought about you. I am in harry, I promise you will love it!". Il worm sfrutta infatti una delle estensioni maggiormente utilizzate dai virus, quella cioè degli screensaver. Se nel vostro pc è installato ICQ, uno dei programmi più vulnerabili della rete, il worm invia una richiesta di trasferimento file ai contatti presenti nel programma, e si auto-invia, sotto eventuale approvazione del destinatario. Ma ICQ non è il solo programma a rischio. Il worm infatti cerca una copia del popolarissimo mIRC, ricercando la presenza del file mirc.ini. Se trova questo file installa degli script creando il file remote32.ini, e mandandolo in esecuzione tramire il file mirc.ini. Gli script hanno la funzione di aggiungere un utente al canale #pentagonex sul server twisted.ma.us.dal.net, selezionato dal worm, allo scopo di creare una backdoor per permettere in attacchi di tipo DOS (Denial of Service) di assumere il controllo del pc. Il worm inoltre tenta di terminare diversi processi attivi sul sistema, e di eliminare, come già detto, i file relativi a antivirus più comuni, e quando fallisce crea il file wininit.ini in modo che il sistema permetta di eliminarli al successivo avvio. POSSIBILI SOLUZIONI Uno dei tool più efficaci per rimuovere W32.Goner.A@mm viene fornito da Symantec all'url: http://www.symantec.com/avcenter/venc/data /w32.goner.a@mm.removal.tool.html |
| www.davidscerrati.too.it |