Un nuovo worm che cesserà i suoi effetti tra due settimane
19 maggio 2003 Da Network Associates arriva la
segnalazione di un nuovo worm di mass mailing al quale è stata assegnata una
valutazione di rischio media.
Il worm, W32/Palyh@Mm (alias: W32.Hllm.Ccn, W32.Hllw.Manx@mm) si propaga tramite posta
elettronica e risorse condivise, attraverso un motore Smtp.
Gli indirizzi
utilizzati vengono estratti dai file presenti sul pc infetto con le
seguenti estensioni: Wab, Dbx Htm, Html, Eml, Txt.
Il worm può arrivare con
un messaggio di posta elettronica con le seguenti caratteristiche:
il mittente è sempre lo stesso (support@microsoft.com) così
come sempre uguale è il contenuto del testo (All information is in the attached
file):
Da: support@microsoft.com
Oggetto: Re: My application
Re: Movie Cool screensaver
Screensavers
Re: My details
Your password
Re: Approved (Red. 3394-65467)
Approved (Ref. 38446-263)
Your details
Allegati:
(Similmente al worm W32/Sobig@MM si può propogare con un’estensione “.PI”
(invece che “.PIF”). approved.pif, ref-394755.pif, password.pif, ref-394755.pif,
application.pif, screen_doc.pif, screen_temp.pif, movie28.pif,
download1053122425102485703.uue, doc_details.pif, _approved.pif
Il worm
elenca le condivisioni di rete e cerca di copiarsi nei seguenti percorsi di
rete, se accessibili:
\Windows\All Users\Start Menu\Programs\Startup\
\Documents and Settings\All Users\Start Menu\Programs\Startup\
La
particolarità di questo Worm è si tratta di un worm “a
scadenza”: è infatti programmato per non propagarsi più dopo il
31 maggio 2003.
