Una nuova minaccia. Si chiama W32/Netsky.b@MM e ha già iniziato a colpire
18 febbraio 2004 Da Trend Micro e Computer Associates arriva una
valutazione di rischio medio al worm W32/Netsky.b@MM , una nuova variante che si
diffonde via e-mail, auto-inviandosi agli indirizzi trovati nella rubrica e
installandosi automaticamente sui drive di rete.
Quando eseguito, il
worm si duplica in una cartella: %windir% utilizzando il filename
SERVICES.EXE.
Aggiunge quindi una chiave ai registri in modo da attivarsi
all’accensione del sistema:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\
CurrentVersion\Run “service” = C:\WINNT\ services.exe -serv.
Il worm si
auto-duplica in varie directory sul sistema locale e sui drive di rete mappati.
I nomi di file sono inclusi nel worm e vengono scelti a caso: doom2.doc.pif,
sex.doc.exe, compilation.doc.exe e simili.
Il componente per la
diffusione tramite posta elettronica utilizza gli indirizzi presenti sul sistema
locale, utilizzando file con estensioni come .msg .oft .sht .dbx .tbb .adb .doc
.wab .asp .uin .rtf .vbs
.html .htm .pl .php .txt .eml.
Il fix per il
worm è disponibile sui siti Internet delle aziende citate.
