|
Un worm che, come tutti i suoi simili,
ha la fastidiosa abitudine di propagarsi indiscriminatamente via
e-mail carpendo indirizzi da Outlook Express
|
|
|
Un nuovo worm, a quanto sembra non
particolarmente distruttivo, si sta diffondendo nelle
e-mailbox di tutto il mondo.
W32.MyParty: cos'è
Battezzato da
Symantec come W32.Mparty@mm e da TrendMicro come
Worm_MyParty.A, il worm è contenuto in un messaggio avente
come subject "new photos from my party!", e come
attachment un file indicato come www.myparty.yahoo.com.
Il corpo dell'email contiene il messaggio:
Hello!
My party... It was absolutely
amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos.
Thanks!
|
W32.MyParty: cosa
fa
Si tratta di un worm codificato con Visual
C++. Secondo i principali produttori di antivirus, il worm non
causa danni diretti al computer infettato, per quanto può
aprire una backdoor su Windows NT/2000/XP.
Dopo aver
controllato la data del computer, nel caso questa non sia
compresa tra il 25 e il 29 gennaio, oppure se la tastiera è
impostata per gli utenti russi, il worm si copia all'interno
di una nuova cartella dentro la cartella C:|Recycled\,
altrimenti può eseguire due azioni distinte dopo un controllo
sul suo nome di file: se il nome del file è "Access", allora
il worm prova a mandare in esecuzione Internet Explorer
aprendolo sulla pagina Web www.disney.com. Se il nome del file
ha invece l'estensione ".com", il worm si copia in una di
queste due directory: C:\Regctrl.exe su Windows
NT/2000/XP, oppure C:\Recycled\Regctrl.exe su Windows
9x/Me.
Se il file ha invece estensione ".exe"
W32.Mparty@mm utilizza un "motore" SMTP interno per spedirsi
via e-mail a tutti gli indirizzi contenuti nei file
.wab (Windows Address Book) e .dbx (Outlook
Express Database) che trova sul disco rigido.
Nel caso che
il sistema operativo sul computer infettato sia Windows NT,
Windows 2000 o Windows XP, il worm deposita il file
"Msstask.exe" nella directory C:\Windows\Start
Menu\Programs\Startup\, in modo che venga eseguito ad ogni
avvio di Windows. Quando si è connessi ad Internet, il trojan
si mette in comunicazione con l'indirizzo IP 209.151.250.170 e
può permettere al suo possessore di avere accesso al sistema.
|
Neutralizzare W3.Mparty@mm
Con
Symantec
1) Aggiornare Norton Antivirus con le ultime
definizioni dei virus
2) Effettuare uno scan completo del
sistema
3) Cancellare tutti i file individuati come
W32.MyParty@mm
4) Cancellare c:\rectrl.exe o
c:\recycled\regctrl.exe
Con TrendMicro
Windows
95/98/ME:
1) Aggiornare l'antivirus.
2) effettuare il
reboot del sistema
3) Effettuare uno scan completo con
l'antivirus e rimuovere tutti i file individuati come
WORM_MYPARTY.A.
Windows NT/2000/XP
1)
Visualizzare il Task Manager di Windows premendo Ctrl+Alt+Delete.
2) All'interno di Task Manager selezionare la finestra dei
processi, individuare il processo denominato MSSTASK.EXE e
terminarlo.
3) Effettuare uno scan completo con l'antivirus e
rimuovere tutti i file individuati come WORM_MYPARTY.A.
E
chi non ha soluzioni antivirus?
TrendMicro mette a
disposizione di tutti l'antivirus gratuito online, è necessario registrarsi prima di
poter usufruire del servizio.
Articolo tratto dalla pagina Lycos Tech che
ringraziamo
| |
