Virus : W32/Dumaru.c@MM

Naviga SWZ: Home Page » News
News del 29 Agosto 03 Autore: Eymerich
Virus : W32/Dumaru.c@MM
Dopo i virus autentici non potevano mancare gli aggiornamenti falsi. Un <i>simpatico</i> esempio è stato <a href= target=_blank>Habrack</a>, che simulava un aggiornamento di windowsupdate con tanto di interfaccia grafica. <img src=immf.php?image=occhioride.gif> Dumaru è da questo punto di vista più grezzo, ma il punto in comune tra i due worm è far leva, facile in questo periodo, sul timore dei navigatori. <b>Descrizione :</b> <b><font color=green>W32/Dumaru.c@MM</font></b> Identificato il 27 agosto 2003 Si diffonde come allegato di posta elettronica in questo messaggio : <font color=blue><font size=1><b>Da</b>: "Microsoft" security@microsoft.com <b>Soggetto</b>: Use this patch immediately ! <b>Allegato</b>: patch.exe Dear friend , use this Internet Explorer patch now!There are dangerous virus in the Internet now!More than 500.000 already infected!</font></font> Il messaggio è clamorosamente falso e il file non è affatto un aggiornamento di sicurezza, cosa di cui la vittima si accorgerà troppo tardi. Se eseguito il worm va alla ricerca di qualsiasi file locale da cui prelevare indirizzi email a cui poi autoinviarsi. E' un "mass mailing worm" e possiede funzionalità tipiche di un trojan, quali il <i>keylogging</i>, ovvero il registrare le battute sulla tastiera per impossessarsi delle password della vittima. Un'altra <i>graziosa</i> caratteristica è il tentativo di chiudere i processi di antivirus, firewall, antitrojans. <i>Dulcis in fundo</i> cerca di collegarsi a un ftp russo, probabilmente per autoaggiornarsi. <b>Sintomi principali :</b> Presenza nella directory di Windows dei file : dllreg.exe, guid32.dll, rundllx.sys, vxdload.log, windrive.exe, winload.log Presenza nella directory di avvio del file : rundllw.exe Presenza nella directory di sistema dei file : load32.exe, vxdmgr32.exe <b>Per gli utenti di McAfee VirusScan e Norton AntiVirus :</b> Le definizioni del 28 agosto (rispettivamente DAT 4290 e 20030828-018-i32) contengono già l'identificazione del virus. <b>Removal tools</b> : <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://download.nai.com/products/mcafee-avert/stinger.exe target=_blank>McAfee Stinger</a> <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://www.symantec.com/avcenter/FxDumaru.exe target=_blank>Symantec</a> <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://www.bitdefender.com/bd/downloads/removaltools/Antidumaru-EN.exe target=_blank>BitDefender</a>
18 - Commento/i sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE