www.viasegre.com

 < < HOME

 < VIRUS WARNING

 EMAIL E FALSI
 DSN, cellulari gratis
 e donatori di midollo

 ROMA CAMPIONE
 d'Italia 2000/2001
 Le foto e altro...

 FANTACALCIO SBT
 S.Benedetto del
 Tronto 2002/03
 Il Forum all'interno!


Margin Walker


ROCCO Mailing List
ISCRIVITI alla
Mailing List
di Via Segre


I-WORM.MYPARTY

Come riconoscerlo:
oggetto e corpo
sono sempre questi


Come infetta il tuo pc:
risparmia solo la
Russia, o ti apre
Disney


Come funziona:
spedisce le email
e comunica con
l'autore


Come eliminarlo:
cancellare i file
infetti, e un
consiglio per i worm



Tutte le informazioni sono state raccole da esperienze personali, da Punto Informatico, e dall'AVP Virus Encyclopedia.


Ancora un altro worm è arrivato nella mia email, si tratta di W32.Myparty@mm e fortunatamente è riconoscibile facilmente. Il worm è scritto con Microsoft Visual C++, ed ha peso di circa 30 KB. Ha cominciato a diffondersi a fine gennaio 2002.

COME RICONOSCERLO

Il worm come dicevo è facilmente riconoscibile. L'oggetto dell'email è infatti sempre la stessa "new photos from my party!", così come il corpo del messaggio "Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!".
Come recita il testo, l'allegato può essere ingannevole e può sembrare appunto quel link di cui si parla "www.myparty.yahoo.com". Ai più attenti però sarà sembrato evidente come l'icona che contraddistingue l'allegato (dove presente) è quella di un file eseguibile, che una volta lanciato installerebbe il worm sul pc.

COME INFETTA IL TUO PC

Questo worm ha la particolarità di non colpire computer la cui data ricada tra il 25 e il 29 gennaio 2002, o dove sia presente il supporto per la lingua russa per la tastiera. Nel caso si verifichi una delle due copia se stesso nella cartella RECLYCER (non è un errore di scrittura!) che crea nel cestino di Windows (RECYCLED), e quindi termina la sua esecuzione.
Se non si verifica nessuna delle due eventuaslità prosegue copiando se stesso con il nome regctrl.exe in C:\ in sistemi windows 95/98/ME, o in C:\Recycled in sistemi windows NT/2000/XP, e quindi esegue il file. Una volta eseguito, il worm sposta il file che lo aveva lanciato nella cartella RECYCLER o RECYCLED, cambiandogli nome con uno generato casualmente che inzia sempre per F e termina con una serie di numeri casuali; quindi apre il browser all'URL "http://www.disney.com".

COME FUNZIONA

Il worm ancora una volta si diffonde utilizzando la posta elettronica, e come mittente l'account dell'utente con il pc infetto. Una volta infettato il sistema procede nel modo seguente:
  • cerca gli indirizzi email nella rubrica utilizzata da Microsoft Outlook e Outlook Express, e nei file .DBX di Outlook Express (sono i file delle cartelle di Outlook);
  • invia se stesso a tutti gli indirizzi email sfruttando un proprio motore SMTP, ma utilizzando il server SMTP configurato come predefinito nel programma di posta del vostro pc, e il vostro indirizzo email predefinito come mittente;
  • nei sistemi windows NT/2000/XP il worm crea un 'backdoor Trojan' e la stringa
    Windows\Start Menu\Programs\Startup\msstask.exe
    cosicché si autoesegua all'avvio di windows; il trojan contatta un indirizzo internet (209.151.250.170) che permette all'autore del worm di accedere al vostro pc;
  • invia infine un messaggio all'indirizzo napster@gala.net con il quale l'autore terrebbe traccia della diffusione del worm.

POSSIBILI SOLUZIONI

Verificare se sono presenti i file citati ed eventualmente cancellarli, da dos se sono in esecuzione. In particolare per sistemi windows NT/2000/XP, per i quali è in esecuzione il processo msstask.exe (con doppia S!!!), va aperto il task manager, e una volta individuato il processo chiuso il task; quindi si può cancellare il file msstask.exe, e procedere alla pulizia del pc.

Consiglio: per verificare se un worm sta spedendo le email dal vostro pc inserite e lasciatelo li, in testa alla rubrica, un contatto con indirizzo email inesistente (ad es. antivirusdinomeutente@virus.it), cosicché se il worm invierà un messaggio a quell'indirizzo email vi tornerà indietro un messaggio di errore, e potrete rendervi conto della sua azione!


www.davidscerrati.too.it