Da alcuni giorni si sta diffondendo un nuovo worm. Il virus, chiamato W32.Marque o Voltan.A, scritto in C/C++ e compresso in ASPack 2.12, si diffonde attraverso una e-mail in formato HTML che indirizza verso un sito. L'e-mail fa riferimento ad un noto personaggio del programma Zelig.
Dal sito incriminato viene automaticamente scaricato il virus sottoforma di zelig.scr. (ScreenSaver)
L'e-mail si diffonde con il seguente oggetto "Il momento e'catartico" e con questo testo:
"Ricevo e cortesemente inoltro,.... un premio per la genialità
hanno reso mitico un salva schermo scaricalo, "poesie catartiche", che non sai cosa ti perdi.
Ciao"
Il worm, lungo 36.352 bytes, si diffonde utilizzando un motore SMTP proprio e prende gli indirizzi dalla rubrica degli accounts di Windows (Windows Address Book). Installa lo screensaver ssmarque.scr e configura le seguenti voci sul registro
HKCU\Control Panel\Screen Saver.Marquee\Text
settando la frase che apparirà sullo screensaver:
"A volte ti sento così vicina...A volte ti sento così lontana...Certo che hai proprio un cellulare di m***a!"
configura lo screensaver
HKCU\Control Panel\Desktop\SCRNSAVE.EXE "ssmarque.scr"
e controlla se lo screensaver è attivo, se no lo attiva
HKCU\Control Panel\Desktop\ScreenSaveActive "1"
Il worm crea inoltre il file ZELIG.SCR-09FE7B68.pf sotto la dir C:\WINDOWS\Prefetch\
Se si ha una linea analogica/isdn il virus ha anche la funzione di dialer, in quanto modifica la connessione remota indirizzandola verso un numero a pagamento 899.
Sembra funzionare solo su sistemi basati su Windows 2000/XP, in quanto su macchine basate su Windows98 mancano alcune dll necessarie per farlo funzionare (dnsapi.dll).
Il virus è riconosciuto per ora da Norton Antivirus, McAfee VirusScan e F-prot 3.14b (questi da me testati) .
Non ha effetti dannosi ed è relativamente facile da rimuovere, visto che non si installa nella voce di avvio automatico del registro (CurrentVersion\Run).
HWInit Labs (Me medesimo Labs :D , cioè l'analisi l'ho fatta io :D )
Dal sito incriminato viene automaticamente scaricato il virus sottoforma di zelig.scr. (ScreenSaver)
L'e-mail si diffonde con il seguente oggetto "Il momento e'catartico" e con questo testo:
"Ricevo e cortesemente inoltro,.... un premio per la genialità
hanno reso mitico un salva schermo scaricalo, "poesie catartiche", che non sai cosa ti perdi.
Ciao"
Il worm, lungo 36.352 bytes, si diffonde utilizzando un motore SMTP proprio e prende gli indirizzi dalla rubrica degli accounts di Windows (Windows Address Book). Installa lo screensaver ssmarque.scr e configura le seguenti voci sul registro
HKCU\Control Panel\Screen Saver.Marquee\Text
settando la frase che apparirà sullo screensaver:
"A volte ti sento così vicina...A volte ti sento così lontana...Certo che hai proprio un cellulare di m***a!"
configura lo screensaver
HKCU\Control Panel\Desktop\SCRNSAVE.EXE "ssmarque.scr"
e controlla se lo screensaver è attivo, se no lo attiva
HKCU\Control Panel\Desktop\ScreenSaveActive "1"
Il worm crea inoltre il file ZELIG.SCR-09FE7B68.pf sotto la dir C:\WINDOWS\Prefetch\
Se si ha una linea analogica/isdn il virus ha anche la funzione di dialer, in quanto modifica la connessione remota indirizzandola verso un numero a pagamento 899.
Sembra funzionare solo su sistemi basati su Windows 2000/XP, in quanto su macchine basate su Windows98 mancano alcune dll necessarie per farlo funzionare (dnsapi.dll).
Il virus è riconosciuto per ora da Norton Antivirus, McAfee VirusScan e F-prot 3.14b (questi da me testati) .
Non ha effetti dannosi ed è relativamente facile da rimuovere, visto che non si installa nella voce di avvio automatico del registro (CurrentVersion\Run).
HWInit Labs (Me medesimo Labs :D , cioè l'analisi l'ho fatta io :D )
Ultima modifica: