Tutte le informazioni sono state raccole da esperienze personali, da Punto Informatico, e dall'AVP Virus Encyclopedia.
Ancora un altro worm è arrivato nella mia email, si tratta di W32.Myparty@mm e fortunatamente è riconoscibile facilmente. Il worm è scritto con Microsoft Visual C++, ed ha peso di circa 30 KB. Ha cominciato a diffondersi a fine gennaio 2002.
COME RICONOSCERLO
Il worm come dicevo è facilmente riconoscibile. L'oggetto dell'email è infatti sempre la stessa "new photos from my party!", così come il corpo del messaggio "Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!".
Come recita il testo, l'allegato può essere ingannevole e può sembrare appunto quel link di cui si parla "www.myparty.yahoo.com". Ai più attenti però sarà sembrato evidente come l'icona che contraddistingue l'allegato (dove presente) è quella di un file eseguibile, che una volta lanciato installerebbe il worm sul pc.
COME INFETTA IL TUO PC
Questo worm ha la particolarità di non colpire computer la cui data ricada tra il 25 e il 29 gennaio 2002, o dove sia presente il supporto per la lingua russa per la tastiera. Nel caso si verifichi una delle due copia se stesso nella cartella RECLYCER (non è un errore di scrittura!) che crea nel cestino di Windows (RECYCLED), e quindi termina la sua esecuzione.
Se non si verifica nessuna delle due eventuaslità prosegue copiando se stesso con il nome regctrl.exe in C:\ in sistemi windows 95/98/ME, o in C:\Recycled in
sistemi windows NT/2000/XP, e quindi esegue il file. Una volta eseguito, il worm sposta il file che lo aveva lanciato nella cartella RECYCLER o RECYCLED, cambiandogli nome con uno generato casualmente che inzia sempre per F e termina con una serie di numeri casuali; quindi apre il browser all'URL "http://www.disney.com".
COME FUNZIONA
Il worm ancora una volta si diffonde utilizzando la posta elettronica, e come mittente l'account dell'utente con il pc infetto. Una volta infettato il sistema procede nel modo seguente:
- cerca gli indirizzi email nella rubrica utilizzata da Microsoft Outlook e Outlook Express, e nei file .DBX di Outlook Express (sono i file delle cartelle di Outlook);
- invia se stesso a tutti gli indirizzi email sfruttando un proprio motore SMTP, ma utilizzando il server SMTP configurato come predefinito nel programma di posta del vostro pc, e il vostro indirizzo email predefinito come mittente;
- nei sistemi windows NT/2000/XP il worm crea un 'backdoor Trojan' e la stringa
Windows\Start Menu\Programs\Startup\msstask.exe
cosicché si autoesegua all'avvio di windows; il trojan contatta un indirizzo internet (209.151.250.170) che permette all'autore del worm di accedere al vostro pc;
- invia infine un messaggio all'indirizzo napster@gala.net con il quale l'autore terrebbe traccia della diffusione del worm.
POSSIBILI SOLUZIONI
Verificare se sono presenti i file citati ed eventualmente cancellarli, da dos se sono in esecuzione. In particolare per sistemi windows NT/2000/XP, per i quali è in esecuzione il processo msstask.exe (con doppia S!!!), va aperto il task manager, e una volta individuato il processo chiuso il task; quindi si può cancellare il file msstask.exe, e procedere alla pulizia del pc.
Consiglio: per verificare se un worm sta spedendo le email dal vostro pc inserite e lasciatelo li, in testa alla rubrica, un contatto con indirizzo email inesistente (ad es. antivirusdinomeutente@virus.it), cosicché se il worm invierà un messaggio a quell'indirizzo email vi tornerà indietro un messaggio di errore, e potrete rendervi conto della sua azione!
|
|