Un nuovo mass-mailing worm, classificato dall'azienda antivirus F-Secure come Email-Worm.Win32.VB.bi si sta diffondendo rapidamente e in maniera aggressiva negli accounts di posta. Sebbene si tratti di un semplice virus mass-mailer scritto in Visual Basic, in poche ore il codice nocivo ha scalato la speciale classifica delle "statistiche virus" di F-Secure, posizionandosi al terzo posto tra i virus più attivi nelle ultime 24 ore e al quarto tra i più attivi negli ultimi 7 giorni.
Ecco i dettagli attualmente disponibili: Non appena si insedia nel PC vittima, Email-Worm.Win32.VB.bi (alias: W32.Blackmal.E@mm, WORM_GREW.A, W32/Nyxem-D, Email-Worm.Win32.VB.bi) tenta di disabilitare i software di sicurezza installati nel sistema. Il worm è scritto in Visual Basic e compilato come p-code. La dimensione dell'eseguibile principlae è di circa 95 kilobytes.
Una volta eseguito si auto-copia in vari posizione nel PC infettato: %Windows%\rundll16.exe, %System%\scanregw.exe, %System%\Update.exe, %System%\Winzip.exe
e installa la seguente chiave di registro per garantirsi l'autorun al riavvio della macchina:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry" = "%System%\scanregw.exe"
Il worm colleziona gli indirizzi e-mail trovati nei files con le seguenti estensioni:
.HTM, .DBX, .EML, .MSG, .OFT, .NWS, .VC, .MBX, .IMH, .TXT, .MSF
e nei files con le seguenti stringhe di caratteri nel nome:
CONTENT, TEMPORARY
Il worm si auto-spedisce come allegato nei messaggi infetti sfruttando i seguenti oggetti:
The Best Videoclip Ever, School girl fantasies gone bad, A Great Video, Fuckin Kama Sutra pics, Arab sex DSC-00465.jpg, give me a kiss, *Hot Movie*, Fw: Funny
, Fwd: Photo, Fwd: image.jpg, Fw: Sexy, Re:, Fw:, Part 1 of 6 Video clipe, You Must View This Videoclip!, Miss Lebanon 2006, Re: Sex Video, My photos
Il corpo del messaggio varia tra i seguenti: Note: forwarded message attached., Hot XXX Yahoo Groups, Fuckin Kama Sutra pics, ready to be FUCKED
, Note: forwarded message attached., forwarded message attached., VIDEOS! FREE! (US$ 0,00), i attached the details. Thank you., >> forwarded message, ----- forwarded message -----, i just any one see my photos. It's Free ![Smile :) :)](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)
Il worm può allegare se stesso come eseguibile nel messaggio sfruttando i seguenti nomi:
007.pif, School.pif, 04.pif, photo.pif, DSC-00465.Pif, image04.pif, 677.pif, New_Document_file.pif, eBook.PIF, document.pif, DSC-00465.pIf
È inoltre in grado di eseguire il MIME-encode del file sfruttando questi nomi:
Attachments[001].B64, 3.92315089702606E02.UUE, SeX.mim, Original Message.B64, WinZip.BHX, eBook.Uu, Word_Document.hqx, Word_Document.uu
Il filename incluso nel MIME-encoding è uno dei seguenti: Attachments[001].B64 [spaces] .sCR, 3.92315089702606E02.UUE [spaces] .sCR, SeX,zip [spaces] .sCR, WinZip.zip [spaces] .sCR, ATT01.zip [spaces] .sCR, WinZip.zip [spaces] .sCR, Word.zip [spaces] .sCR, Word XP.zip [spaces] .sCR
Email-Worm.Win32.VB.bi esegue la ricerca di cartelle condivise in remoto e tenta di infettarle copiandosi come: \Admin$\WINZIP_TMP.exe, \c$\WINZIP_TMP.exe, \c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Maggiori informazioni sul sito di F-Secure
Fonte
Ecco i dettagli attualmente disponibili: Non appena si insedia nel PC vittima, Email-Worm.Win32.VB.bi (alias: W32.Blackmal.E@mm, WORM_GREW.A, W32/Nyxem-D, Email-Worm.Win32.VB.bi) tenta di disabilitare i software di sicurezza installati nel sistema. Il worm è scritto in Visual Basic e compilato come p-code. La dimensione dell'eseguibile principlae è di circa 95 kilobytes.
Una volta eseguito si auto-copia in vari posizione nel PC infettato: %Windows%\rundll16.exe, %System%\scanregw.exe, %System%\Update.exe, %System%\Winzip.exe
e installa la seguente chiave di registro per garantirsi l'autorun al riavvio della macchina:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry" = "%System%\scanregw.exe"
Il worm colleziona gli indirizzi e-mail trovati nei files con le seguenti estensioni:
.HTM, .DBX, .EML, .MSG, .OFT, .NWS, .VC, .MBX, .IMH, .TXT, .MSF
e nei files con le seguenti stringhe di caratteri nel nome:
CONTENT, TEMPORARY
Il worm si auto-spedisce come allegato nei messaggi infetti sfruttando i seguenti oggetti:
The Best Videoclip Ever, School girl fantasies gone bad, A Great Video, Fuckin Kama Sutra pics, Arab sex DSC-00465.jpg, give me a kiss, *Hot Movie*, Fw: Funny
Il corpo del messaggio varia tra i seguenti: Note: forwarded message attached., Hot XXX Yahoo Groups, Fuckin Kama Sutra pics, ready to be FUCKED
Il worm può allegare se stesso come eseguibile nel messaggio sfruttando i seguenti nomi:
007.pif, School.pif, 04.pif, photo.pif, DSC-00465.Pif, image04.pif, 677.pif, New_Document_file.pif, eBook.PIF, document.pif, DSC-00465.pIf
È inoltre in grado di eseguire il MIME-encode del file sfruttando questi nomi:
Attachments[001].B64, 3.92315089702606E02.UUE, SeX.mim, Original Message.B64, WinZip.BHX, eBook.Uu, Word_Document.hqx, Word_Document.uu
Il filename incluso nel MIME-encoding è uno dei seguenti: Attachments[001].B64 [spaces] .sCR, 3.92315089702606E02.UUE [spaces] .sCR, SeX,zip [spaces] .sCR, WinZip.zip [spaces] .sCR, ATT01.zip [spaces] .sCR, WinZip.zip [spaces] .sCR, Word.zip [spaces] .sCR, Word XP.zip [spaces] .sCR
Email-Worm.Win32.VB.bi esegue la ricerca di cartelle condivise in remoto e tenta di infettarle copiandosi come: \Admin$\WINZIP_TMP.exe, \c$\WINZIP_TMP.exe, \c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Maggiori informazioni sul sito di F-Secure
Fonte