Viene segnalato in
rapida diffusione dal Giappone dove sono state
rilevate significative quantità di infezione
da parte di TrenMicro. Il worm si diffonde via
e-mail e attraverso file su reti condivise.
La possibilità di espansione è alta.
Il codice infetto viene trasmesso via e-mail
(con oggetto e testo casuali) ed allegati
contenenti file con estensione .EXE, .PIF,
.COM, o .SCR.
L'allegato, se avviato, scarica nella directory
di Windows questi file:
- INITBAK.DAT (201,216
Bytes)
- ISERVC.EXE (201,216
Bytes)
- ISERVC.DLL (7,680
Bytes)
- PROGOP.EXE (15,360
Bytes)
I file ISERVC.EXE e
INITBAK.DAT sono copie del worm, mentre PROGOP.EXE
e ISERVC.DLL sono componenti del worm.
Per abilitare se stesso
al primo riavvio del sistema operativo, aggiunge
le seguenti istruzioni al registro di Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SystemInit = "%Windows%\ISERVC.EXE"
Modifica poi la seguente
chiave di registro
HKEY_CLASSES_ROOT\txtfile\shell\open\command
in modo da richiamare il componente ProgOp.exe
ogni qualvolta il file è avviato:
Il worm è munito di varie
componenti e di un timer interno per inizializzare
più processi in momenti diversi e si
auto invia agli indirizzi prelevati
su Outlook e da altri punti. Le maggiori fonti
di indirizzi sono:
- Lista dei contatti di
Outlook
- Windows Address Book
(WAB)
- Indirizzi trovati sui
sistemi locali
- Indirizzi creati a caso
- IRC bot (Internet Relay
Chat)
- AIM bot (AOL Instant
Messenger)
- Keylogger
- KaZaa worm
- HTTP server
- Remote access server
- Meccanismi di auto-aggiornamento
- Anti-virus software termination
Il worm è munito di un
un proprio motore SMTP e utilizza
il server SMTP predefinito dal client di posta
ma è anche in grado di utilizzare
un server SMTP esterno.
Come già accennato, giunge nelle caselle di
posta elettronica sotto forma di allegato
con diversi tipi di messaggio. La e-mail
del mittente viene modificata (per ingannare
il destinatario) in modo che il messaggio
sembri arrivare da altri mittenti. Alcuni
esempi di e-mail:
Oggetto: why?
Corpo: The peace
Allegato: desktop.scr
Oggetto: Re: You might not appreciate this...
Corpo: lautlach
Allegato: service.scr
Oggetto: Re: how are you?
Corpo: I sent this program (Sparky) from anonymous
places on the net
Allegato: Jesse20.exe
Oggetto: Fwd: Mariss995
Corpo: There is only one good, knowledge,
and one evil, ignorance.
Allegato: Mariss995.exe
Oggetto: Re: The way I feel - Remy Shand
Corpo: Nein
Allegato: Jordan6.pif
Il worm ha anche la capacità
di aggiornarsi attraverso il download automatico
da un sito presente su Geocities.
Ricordiamo
di prestare sempre la massima cautela nell'aprire
file allegati alle e-mail della cui origine
non si sia certi e di esercitare la massima
prudenza anche in presenza di allegati
provenienti da conoscenti, ma che non erano
attesi.
|
