 |
 |
 |
|
 |
 |
 |
|
 |
|||
|
||||||||||||||||||||||||||
| I-WORM.HYBRIS |
|
|||||
Tutte le informazioni sono state raccole da it.comp.sicurezza.virus, it.comp.sicurezza.windows, e dall'AVP Virus Encyclopedia. E' un worm che si diffonde in internet come un file EXE allegato ad un messaggio e-mail. Il messaggio spesso è ben riconoscibile perché non presenta il nome del mittente, e neanche l'oggetto, ma ne esistono diverse varianti che non permettono una così facile identificazione. Il file allegato è appunto un eseguibile con un nome sempre diverso o generato casualmente o con richiami di tipo sessuale. Il worm lavora solo sotto sistemi Win32, ed esegue secondo le propie necessità comandi che gli permettono anche di fare un upgrade da un sito internet, collezionando una serie di plugin che gli consentono di eseguire diverse azioni. Il worm interferisce in diverse operazioni del sistema operativo Win32, nelle connessioni e in particolare nella connessione a internet, intercettando messaggi e dati inviati o ricevuti per cercare indirizzi e-mail ai quali spedire messaggi infetti. COME INFETTA IL TUO PC Il worm infetta una libreria dal nome WSOCK32.DLL. Il worm scrive se stesso nell'ultima sezione del file, interferisce nell funzioni di 'connect', 'recv', e 'send', modificando inoltre l'"entry routine address" del file DLL e nascondendo la routine originale. Se il worm non è in grado di infettare il file WSOCK32.DLL, perché sia in uso o protetto da scrittura, è capace di creare una copia della libreria per infettarla, e di scrivere una istruzione nel file WININIT.INI in grado di rinominare al prossimo avvio il file da lui creato come WSOCK32.DLL. Inoltre, nel caso che il worm non riesca a portare a termine il suo lavoro, crea una copia di se stesso nella directory System di Windows e modifica il registro di sistema inserendo una delle due stringhe: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunOnce (Predefinito) = C:\Windows\System\'Nome del worm' HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\RunOnce (Predefinito) = C:\Windows\System\'Nome del worm' COME FUNZIONA All'interno del suo codice il worm contiene una serie di plugin che gli consentono di eseguire diverse operazioni. Queste plugins possono essere upgradate da un sito web, ma non solo. Il worm è infatti capace di fare un upgrade dal newsgroup alt.comp.virus, semplicemente convertendo le sue plugin in messaggi da inviare sul newsgroup contenenti il nome e la versione codificata della plugin. Come può inviare può anche leggere il newsgroup e in questo modo cercare versioni aggiornate. In alternativa può creare file con un nome casuale nella directory System di Windows nei quali sono racchiuse le plugin a cui il worm può accedere. COSA SONO LE PLUGIN Le plugin permettono diverse azioni tra le quali: - infettano gli archivi ZIP e RAR sulle unità disco trasformando le estensioni dei file EXE in EX$ e aggiungendosi all'archivio con l'estensione EXE; - inviano messaggi infetti al newsgroup alt.comp.virus; - creano copie del worm per inviarle come allegati nei messaggi di posta elettronica; - possono creare casualmente il testo dell'oggetto, e del corpo del messaggio, oltre al nome del file allegato, nell'e-mail infetta da inviare; - infettano i file DOS e Windows, in modo che quando vengono eseguiti, automaticamente eseguono il worm nella directory Temp di Windows; i file vengono infettati inserendo il codice alle fine del corpo del file stesso, me per i file di Windows spesso programmi che testano l'integrità dei file non si accorgono delle modifiche perché il worm non cambia la grandezza e il CRC del file. |
| www.davidscerrati.too.it |