Condividi:        

Nuovo virus ?

Discussioni e opinioni costruttive sul mondo dell'informatica.
Per la soluzione di problemi specifici fare riferimento alle sezioni di assistenza!

Moderatori: aurelio37, Anthony47, axelrox

Postdi luna11 » 02/02/02 05:02

Mi scuso se è già conosciuto.
Nel caso non lo fosse:

Tutte le informazioni sul virus Kamikaze a questo indirizzzo
http://www.ilnuovo.it/nuovo/foglia/0,10 ... 36,00.html

e anche questa:
MILANO METROPOLI.COM informa:

Il virus MyParty si espande online
Dopo un giorno di incubazione dilaga anche in Italia un nuovo worm capace di
ingannare gli utenti e farsi passare come un innocuo allegato. In realtà
agisce sul browser, crasha il PC, intasa i mail server. I dettagli

29/01/02 - News - Roma - L'allarme era partito durante il week-end ma ieri i
principali osservatori antivirus hanno notato una forte accelerazione di un
nuovo worm, che i labs dei produttori di software di sicurezza hanno
denominato "W32.Myparty@mm". Stando alle segnalazioni giunte a Punto
Informatico, appare evidente una forte diffusione del worm nelle ultime ore
anche in Italia.

Il programmino aggressivo si diffonde ancora una volta via posta elettronica
sui sistemi Windows. W32.MyParty, infatti, arriva come allegato infetto di
una email che ha per mittente un utente nella cui rubrica il worm ha trovato
gli indirizzi a cui auto-spedirsi: un meccanismo utilizzato da molti worm
che si traduce nel fatto che chi riceve l'email con l'attachment infetto
potrebbe essere indotto ad aprire l'allegato proprio perché conosce chi ha
spedito il messaggio.

L'email è in sé facilmente individuabile se si considera che ha per subject
la frase: "new photos from my party!". Il testo del messaggio, poi, al
contrario di altri worm più aggressivi, è sempre lo stesso:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

L'allegato infetto ha un nome che può effettivamente sembrare il link ad un
sito sotto Yahoo, un sito che contenga le immagini di cui parla il
messaggio. Il nome dell'attachment è "www.myparty.yahoo.com" e chi lo
lanciasse consentirebbe al worm di installarsi nel proprio computer.

Quando viene eseguito, la prima cosa che il worm fa è controllare la data
del computer. Se la data non è compresa tra il 25 e il 29 gennaio 2002 (con
datazione scritta "all'americana") o se la tastiera impostata sul computer è
russa, allora il worm si copia in una directory casuale sotto C:recycled.
In caso contrario, come indicato dai labs di Symantec, continua la sua
azione.

A quel punto, se il worm utilizza come nome di file casuale con cui si è
impiantato nel sistema il termine "access", allora tutto quello che fa è
tentare di lanciare il browser dell'utente e fargli aprire la pagina
http://www.disney.com.

Se il nome di file ha invece un'estensione.com, allora il worm si copia
automaticamente in:
C:regctrl.exe (su sistemi Windows NT, 2000 o XP)
oppure in:
C:Recycledregctrl.exe (su Windows 9x o WindowsMe).
Fatto questo, lancia il file "regctrl.exe" per autoreplicarsi.

Se il nome di file ha una estensione.exe, come appunto regctrl.exe, allora
il worm inizia la scansione della Rubrica di Windows nonché i file delle
cartelline di Outlook Express, a caccia di indirizzi email. A questi tenta
dunque di autoinviarsi sfruttando un proprio servizio SMTP, sfruttando lo
stesso indirizzo di server utilizzato di default dall'utente infetto. I
messaggi così inviati, come detto, appaiono come spediti dall'utente stesso.

Su Windows NT, 2000 e XP, il worm tenta anche di copiarsi in "WindowsStart
MenuProgramsStartupmsstask.exe" per riavviarsi ad ogni reboot di Windows.

Alla fine delle sue operazioni, il worm invia un messaggio email a
napster@gala.net, che secondo gli esperti è un'email con cui l'autore del
virus tiene traccia della diffusione ottenuta dal suo worm...

Per proteggersi dal worm, oltre a non aprire le email con queste
caratteristiche, è senz'altro utile scaricare le ultime definizioni
antivirus del proprio programma di protezione. Qualora si fosse rimasti
infetti si può scansionare il sistema a caccia dei file "W32.MyParty@mm" o
di "regctrl.exe" e cancellare tutto quello che si trova.

MILANOMETROPOLI.COM
luna11
Utente Senior
 
Post: 3634
Iscritto il: 10/08/01 01:00

Sponsor
 

Torna a Discussioni


Topic correlati a "Nuovo virus ?":

Nuovo notebook
Autore: Tony2
Forum: Consigli per gli acquisti
Risposte: 4

Chi c’è in linea

Visitano il forum: Nessuno e 31 ospiti