Notizia Precedente
Fast Autorun v1.2
Notizia Successiva
Fresh UI v1.0

I-WORM Magistr

Naviga SWZ: Home Page » News
News del 24 Gennaio 02 Autore: bodyzen
Sono appena uscito da una esasperante lotta con questo virus che, come il suo predecessore Hybris è a 32 bit e si diffonde rapidamente, ma le sue caratteristiche e la routine distruttiva lo rendono estremamente pericoloso.
Realizzato in linguaggio macchina (Assembly), non supera i 30 Kb di algoritmi e, una volta ricevuto si installa in memoria dove rimane in attesa per 3 minuti, per poi iniziare il suo lavoro.
Io ho ricevuto il virus con una mail il cui oggetto era !"#$, ma questo non è l'unico modo di intrufolarsi.
Il worm si installa nell'area di memoria dove risiede il processo Explorer.exe e fa in modo di essere attivato ogni volta che il SO riparte, creando un'istruzione "run" nel file WIN.INI e con una nuova chiave di registro di sistema posizionata in :HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCur
rent VersionRun.
Nella sua variante B la routine del payload (effetto distruttivo) è stata potenziata a tal punto che verranno sovrascritti il file WIN.COM e NTLDR con un programma che cancella tutti i dati presenti sui dischi locali e di rete condivisi. Essa è pure capace di chiudere e disattivare lo ZoneAlarm!
Il worm ha al suo interno un contatore che quando raggiunge un certo valore (30 giorni) prende il controllo del desktop di windows (si vedono le icone tremare e sfuggire al mouse) e la routine distruttiva viene eseguita cancellando il contenuto della CMOS e del Flash Bios.
Segnalo qui una ottima utility che mi ha permesso di distruggere Magistr lavorando in dos puro:

http://www.sophos.co.uk/support/faqs/swclean.html I-WORM Magistr - immagine 1
3 - Commento/i sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

News Collegate