Il nuovo worm, classificato come ad alto rischio dalle maggiori case antivirus, si sta rapidamente diffondendo anche in Italia. Cerchiamo di analizzarne nel dettaglio tutte le caratteristiche.
In che modo si propaga?
Questo worm si trasmette attraverso posta elettronica ed infetta Microsoft Outlook, Microsoft Outlook Express, cartelle condivise e l'IIS del WebServer Microsoft. Il file principale è un allegato di nome readme.exe che, sfruttando un bug del MIME di Explorer 5 o 5.01, si auto-esegue alla sola lettura della mail ricevuta. L'attachment poi, risulta invisibile ai possessori di versioni 5.5 o inferiori di Outlook.
Chi è a rischio?
Potenzialmente tutti ma in particolar modo i possessori delle versioni 5 o 5.01 di Explorer. Per questo, Microsoft ha rilasciato una patch che risolve in parte il problema. Attenzione comunque alla richiesta diretta di esecuzione o
download di allegati di cui non conoscete la fonte.
Come agisce?
Appena eseguito, il worm infetta il file MMC.exe (il file della Microsoft Management Console) e si replica nella cartella TEMP di Windows. Segue l'infezione di tutti i file eseguibili elencati nelle chiavi del registro:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell
Folders
Il file system.ini
Shell = explorer.exe load.exe -dontrunold
Anche la dll Riched20.dll %WindowsSystem%load.exe
Il worm poi attiva una condivisione sulla rete interna modificando la chiave del registro:
HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanMan[C$ -> Z$]
Il worm esegue una ricerca all'interno della rete (tramite IP generati "a random") ed infetta tutti i .exe winzip32.exe
Infine, il worm aggiunge lo user Guest Administrator
Queste ultime modifiche purtroppo non necessitano di riavvio del computer, come invece è necessario per il resto delle operazioni di infezione.
Come difendersi?
Prima di tutto aggiornare la versione di IE alla 5.5 o superiore.
