Worm
creato in Visual Basic 6. Viene trasmesso attraverso
un file chiamato CREATIVE.EXE che si presenta
con una falsa icona Shockwave Media Player.
Questo virus viene trasmesso con un attach via
e-mail con un messaggio avente queste caratteristiche:
Oggetto = A great Shockwave flash movie
Corpo messaggio =
Check out this new flash movie that I downloaded just
now ... It's Great
Bye
Allegato = creative.exe
All'avvio del file allegato Creative.exe il worm viene
installato nella directory principale ed in quella
del sistema operativo:
c:\creative.exe
c:\[WINDOWS directory]\TEMP\creative.exe
c:\[WINDOWS directory]\Start Menu\Programs\StartUp\creative.exe
Si autoreplica via e-mail spedendosi
a tutti gli utenti presenti nella rubrica del client
di posta elettronica.
- Successivamente cerca tutti
i file con suffiso jpg mp3 e zip e li sposta nella
directory principale aggiungendo alla loro estensione
la frase
"change atleast now to LINUX".
Crea, inoltre, un file denominato "messageforu.txt"
contenente i file rinominati ed aggiungendo il
testo:
Hi, guess you have got the
message. I have kept a list of files that I have
infected under this. If you are smart enough just
reverse back the process. i could have done far
better damage, i could have even completely wiped
your harddisk. Remember this is a warning &
get it sound and clear... - The Penguin
Si raccomanda di
effettuare gli upgrade di sicurezza :
Scriptlet.typelib-Eyedog
vulnerability patch
- Malformed
E-mail MIME Header vulnerability patch
- Outlook email
attachment security update
- Exchange 5.5. post
SP3 Information Store Patch 5.5.2652.42
| Alias |
|
| Creative.exe |
| I-Worm.Creative |
| Prolin-Shockwave |
| TROJ_SHOCKWAVE |
| W32.Prolin |
|
