Manuali, links, fotografie e tanto altro
alla portata di un semplice click!
  
 Benvenuto Ospite
Manuali, immagini, fotografie e tanto altro a portata di un click
  FAQ ForumFAQ Forum   CercaCerca  Gruppi utentiGruppi utenti  ProfiloProfilo  Discussioni controllateDiscussioni controllate  Forum controllatiForum controllati
Buon Natale e il worm Zafi.D
  
Indice del forum » Tecno Channel »  Windows
Nuova discussione   Rispondi
Precedente Versione stampabile Successivo
Autore Messaggio
[Gnomix]Offline
Site Admin


Registrato: 31 Ott 2004
Messaggi: 81
Località: Italy
Status: Offline
Messaggio 3 Inviato: 17 Dic 2004 - 11:59 Rispondi citando Torna in cima
Oggetto: Buon Natale e il worm Zafi.D
Tratto da una discussione sul forum di hwupgrade:


Si tratta di un worm che si diffonde attraverso la posta elettronica. Si copia all’interno delle cartelle condivise. Tenta di sovrascrivere i file con estensione EXE. Usa un proprio motore SMTP (Simple Mail Transfer Protocol) per inviare i messaggi in diverse lingue e con gli auguri natalizi (Buon Natale, Merry Christmas!, ecc.).
Viene riconosciuto anche come: Zafi.D, W32/Zafi.D, W32/Zafi.D@mm, Email-Worm.Win32.Zafi.d, W32/Zafi-D, W32/Zafi.d@MM

Dettagli tecnici

Quando si esegue crea una copia di se stesso dentro le seguenti cartelle:

C:\s.cm (file creato dall’attivazione / disattivazione del servizio di Pianificazione Operazioni)
C:\Windows\System32\
C:\Windows\System32\<nome_casuale>.DLL
C:\Windows\System32\<nome_casuale>.EXE
C:\Windows\System32\Norton Update.exe

A seconda della versione del sistema operativo, le cartelle "c:\windows" e "c:\windows\system32" possono variare ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Il worm crea le seguente chiave all’interno del Registro di sistema, in modo tale da essere eseguito in automatico ad ogni avvio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Wxp4 = %system%\Norton Update.exe

Dove la variabile simbolica %system% rappresenta il percorso della cartella di sistema di Windows.
Crea inoltre la seguente chiave di Registro per conservare le informazioni che lo riguardano:

HKLM\SOFTWARE\Microsoft\Wxp4

Per trovare gli indirizzi ai quali inviare messaggi infetti, il worm compie una ricerca all’interno del computer infettato e li registra dentro dei file il cui nome viene scelto a caso e che hanno estensione ".DLL", infine salva questi nuovi file nella cartella di Sistema di Windows.

Esempi:

C:\Windows\System32\dectbnqa.dll
C:\Windows\System32\qbzeyuim.dll
C:\Windows\System32\mntvcoop.dll
C:\Windows\System32\zwxvaghk.dll

I file che il worm controlla per ottenere gli indirizzi di posta hanno le seguenti estensioni:

adb
asp
dbx
eml
fpt
htm
inb
mbx
php
pmr
sht
tbb
txt
wab

Il worm non invia e-mail infette agli indirizzi contenenti le stringhe seguenti:

admi
cafee
google
help
hotm
info
kasper
micro
msn
panda
secur
sopho
suppor
syman
trend
use
viru
webm
win
yaho

Per inviare se stesso agli indirizzi e-mail trovati, il worm usa un proprio motore SMTP (Simple Mail Transfer Protocol).
I messaggi inviati si presentano in lingue diverse.

Il messaggio inviato ha le seguenti caratteristiche:

Da: [mittente falso]

Oggetto: [ Fw: Merry Christmas!]

Testo del messaggio:

* Happy.... [emoicone] ....Hollydays! *

[mittente]

___________________________________________
http:/ /innocent.com/postcard.????? Picture
Size: 11 KB, Mail: ??????
+OK

Allegato: postcard.?????.zip

Dove "?????" rappresentano lettere e numeri scelti a caso. Esempi:

postcard.eqt8435.zip
postcard.zw31089.zip

Il worm si copia in tutte le cartelle dell’unità C: che contengano nel nome le stringhe "share", "upload" o "music".

Dopo crea una copia di se stesso all’interno delle cartelle trovate con uno dei seguenti nomi:

ICQ 2005a new!.exe
winamp 5.7 new!.exe

Tenta di terminare i processi riferiti ai software antivirus e in generale a tutte le applicazioni inerenti la sicurezza del sistema.

Per evitare di venir identificato o eliminato dal computer infettato tenta di impedire all’utente di eseguire qualunque applicazione contenga le seguenti stringhe:

reged
msconfig
task

Crea un mutex (mutual exclusion, oggetto di sincronizzazione di sistema) con nome:

Wxp4

Apre una backdoor sulla porta 8181, e la utilizza per creare ed eseguire file.

Istruzioni per l'eliminazione

Disattivare il ripristino automatico di configurazione in Windows XP/ME.

Eseguire una scansione del disco utilizzando l’antivirus aggiornato e cancellare tutti i file infetti

Da Start, Esegui, scrivere REGEDIT e premere Invio per accedere al Registro di sistema

Eliminare sotto la colonna "Nome", il valore "Wxp4", nella seguente chiave di Registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Eliminare la cartella "Wxp4" nella seguente chiave di Registro
HKLM\SOFTWARE\Microsoft\Wxp4

Chiudere l’editor del Registro di sistema

Riavviare il computer ed eseguire una scansione del disco utilizzando l’antivirus aggiornato per cancellare qualsiasi presenza residua del worm.

_________________
By [Gnomix]
Profilo Homepage Numero ICQ
Mostra prima i messaggi di:     
Vai a:  
Tutti i fusi orari sono GMT - 11 ore
Nuova discussione   Rispondi
Precedente Versione stampabile Successivo
 
 Indice del forum » Tecno Channel »  Windows
Powered by MDForum 2.0© 2003-2005 MAXdev
Tema grafico by subRebel del sito ktauber modificato e ottimizzato per MDForum da TiMax
Supporto italiano by Open Italia

Network: Cartoline virtuali - Calendari - Modelle - Playmates - Sfondi - Forum - Old SecurityNews - Warez