Scoperto alla fine di settembre, il worm si è già posizionato al top della classifica dei virus più diffusi degli ultimi 6 mesi, dove ha già superato una diffusa variante di Klez.

Danni provocabili:

• Distribuzione di massa tramite posta elettronica
• Compromissione delle impostazioni di sicurezza

Soggetto del messaggio: Variabile
Nome dell'allegato: Variabile con doppia estensione tipo .scr .exe o pif


E' un worm capace di diffondere il suo codice non solo attraverso la posta elettronica ma anche in condivisioni di rete e sistemi di file-sharing. Il verme è in grado di memorizzare tutto ciò che viene digitato sulla tastiera, disabilitare i processi dei software antivirus e dei firewall ed installare backdoor aprendo la porta 36794 ed attendendo istruzioni da parte di hacker. Grazie a tali istruzioni il worm è in grado di:

Eliminare file.
Interrompere processi.
Compilare un elenco di processi e inoltrarlo all'hacker.
Copiare file.
Avviare processi.
Compilare un elenco di file e inoltrarlo all'hacker.
Inviare all'hacker (sotto forma criptata) le informazioni digitate dall'utente mediante tastiera. Alcune di queste informazioni possono essere strettamente riservate, quali password, informazioni di login, eccetera).
Inviare all'hacker informazioni sul sistema, nel seguente formato:
User: <nome utente>
Processor: <tipo di processore utilizzato>
Windows version: <versione di Windows, numero di build>
Memory information: <quantità di memoria disponibile, eccetera>
Unità locali e di che tipo (dischi rigidi/rimuovibili/dischi RAM/CD-ROM, eccetera), nonché le loro caratteristiche fisiche.
Compilare un elenco dei vari tipi di risorse di rete e inviarlo all'hacker.

Ricordiamo di prestare sempre la massima cautela nell'aprire file allegati alle e-mail della cui origine non si sia certi e di esercitare la massima prudenza anche in presenza di  allegati provenienti da conoscenti, ma che non erano attesi.