Sta circolando in rete un nuovo worm che cesserà i suoi effetti tra due settimane. Utilizza come mittente l’indirizzo di posta “support@microsoft.com”
19 maggio 2003 Da vari produttori di antivirus arriva la segnalazione
di un nuovo worm di mass mailing al quale è stata assegnata una valutazione
di rischio media.
Il worm W32/Palyh@Mm (alias: W32.Hllm.Ccn, W32.Hllw.Manx@mm)
si propaga tramite posta elettronica e risorse condivise, attraverso un motore
Smtp.
Gli indirizzi utilizzati vengono estratti dai file presenti sul pc infetto con
le seguenti estensioni: Wab, Dbx Htm, Html, Eml, Txt.
Il worm può arrivare con un messaggio di posta elettronica con le seguenti caratteristiche:
il mittente è sempre lo stesso (support@microsoft.com) così
come sempre uguale è il contenuto del testo (All information is in the attached
file). L’oggetto invece può variare con i termini elencati di seguito:
– Re: My application
– Re: Movie
– Cool screensaver
– Screensaver
– Re: My details
– Your password
– Re: Approved (Red. 3394-65467)
– Approved (Ref. 38446-263)
– Your details
Allegati: Similmente al worm W32/Sobig@MM si può propogare
con un’estensione “.PI” (invece che “.PIF”): approved.pif, ref-394755.pif, password.pif,
ref-394755.pif, application.pif, screen_doc.pif, screen_temp.pif, movie28.pif,
download1053122425102485703.uue, doc_details.pif, _approved.pif
Se lanciato, il worm copia sè stesso nella directory di Windows con il
nome “msccn32.exe” e aggiunge la seguente riga nel registry: HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
“System Tray”=”C:\\WINDOWS\\MSCCN32.EXE” in modo che venga
lanciato a ogni avvio del computer. Il worm è in grado di scaricare file
dal Web (anche virus trojan) e di eseguirli.
La particolarità di questo Worm è si tratta di un worm “a scadenza”:
è infatti programmato per non propagarsi più dopo il 31 maggio 2003.
