Virus: W32/Netsky.p

Naviga SWZ: Home Page » News
News del 23 Marzo 04 Autore: Eymerich
L'ennesima variante di <b><a href= target=_blank>Netsky</a></b> non avrebbe meritato particolare rilievo, se non fosse per il fatto che alcune mail contenenti il virus sono confezionate in modo davvero <i>grazioso</i>. <img src=immf.php?image=occhioride.gif> Mi spiego : normalmente Outlook Express mostra con il simbolo della graffetta la presenza di un allegato nel messaggio ricevuto. In questo caso invece, ma non sempre, la presenza dell'allegato non è indicata. Per contro nel corpo del messaggio si trova un link ipertestuale, la cui incauta apertura provoca il lancio del virus allegato. Si tratta di un interessante <i>escamotage</i> : il virus infatti sfrutta una ormai <a href=http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx target=_blank>vecchia vulnerabilità di OE</a> per attivarsi automaticamente all'apertura del messaggio, ma anche la curiosità del destinatario. Questi cliccherà sul link credendolo innocuo, e si infetterà anche se usa una versione di OE non bacata. Per il resto il virus (che si sta diffondendo rapidamente) non si discosta dagli standard ormai soliti : è dotato di un suo SMTP engine che gli permetterà di autoinviarsi usando indirizzi contraffatti o, se autentici, prelevati da macchine infette. L'oggetto della mail può presentarsi così : <font color=blue><font size=1>Stolen document Re:Hello Mail Delivery ( failure sender address ) Private document Re:Notify Re:document Re:Extended Mail System Re:Proctected Mail System Re:Question Private document Postcard </font></font> mentre l'allegato (29,6 kb) è di questo tipo : <font color=blue><font size=1>websites(random number).zip document(random number).zip your_document.zip part(random number).zip message.doc.scr message.zip document.zip old_photos.txt.pif postcard_.(random number)..zip details(random number).zip </font></font> <b>Sintomi</b> : Presenza nella directory di Windows dei file : <font color=blue><font size=1><b>FVProtect.exe</b> userconfig9x.dll base64.tmp zip1.tmp zip2.tmp zip3.tmp zipped.tmp</font></font> Presenza della chiave di registro : <font color=blue><font size=1>HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Norton Antivirus AV" = %WinDir%<b>FVProtect.exe</b></font></font> Il virus si diffonde anche attraverso il P2P : le directory condivise conterrano copie del virus con nomi <i>improbabili</i> del tipo "Norton Antivirus 2005 beta.exe, DivX 8.0 final.exe ", per non parlare dei soliti <i>pittoreschi</i> file che evocano Britney Spears (in attività non proprio musicali). Vi rimando al link "Altre informazioni" per la lista più o meno completa. <img src=immf.php?image=occhioride.gif> La rimozione manuale prevede prima la chiusura del processo <b>FVPROTECT.EXE</b>, poi la cancellazione dei file e della chiave di registro sopra indicati. La raccomandazione è sempre la stessa : mantenere aggiornati gli antivirus ed evitare di cliccare qualsiasi cosa capiti a tiro di mouse (anche se proviene da un indirizzo conosciuto). <b>Alias</b> : W32.Netsky.P@mm (Symantec), WORM_NETSKY.P (Trend) <b>Removal tools</b> : <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://vil.nai.com/vil/stinger target=_blank>McAfee Stinger</a> <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky@mm.removal.tool.html target=_blank>Symantec</a> <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://www.bitdefender.com/html/virusinfo.php?menu_id=1&v_id=220# target=_blank>BitDefender</a>
27 - Commento/i sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE