Il nuovo worm, classificato come ad alto rischio dalle maggiori case antivirus, si sta rapidamente diffondendo anche in Italia. Cerchiamo di analizzarne nel dettaglio tutte le caratteristiche.
In che modo si propaga?
Questo worm si trasmette attraverso posta elettronica ed infetta Microsoft Outlook, Microsoft Outlook Express, cartelle condivise e l'IIS del WebServer Microsoft. Il file principale è un allegato di nome readme.exe che, sfruttando un bug del MIME di Explorer 5 o 5.01, si auto-esegue alla sola lettura della mail ricevuta. L'attachment poi, risulta invisibile ai possessori di versioni 5.5 o inferiori di Outlook.
Chi è a rischio?
Potenzialmente tutti ma in particolar modo i possessori delle versioni 5 o 5.01 di Explorer. Per questo, Microsoft ha rilasciato una patch che risolve in parte il problema. Attenzione comunque alla richiesta diretta di esecuzione o
download di allegati di cui non conoscete la fonte.
Come agisce?
Appena eseguito, il worm infetta il file MMC.exe (il file della Microsoft Management Console) e si replica nella cartella TEMP di Windows. Segue l'infezione di tutti i file eseguibili elencati nelle chiavi del registro:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Paths
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell
Folders
Il file system.ini viene modificato con questa riga:
Shell = explorer.exe load.exe -dontrunold
Anche la dll Riched20.dll viene infettata. Si tratta di una dll di Microsoft Word. In questo modo, ad ogni avvio del programma il worm si attiverà copiandosi nel file %WindowsSystem%load.exe.
Il worm poi attiva una condivisione sulla rete interna modificando la chiave del registro:
HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanMan[C$ -> Z$]
Il worm esegue una ricerca all'interno della rete (tramite IP generati "a random") ed infetta tutti i .exe possibili, escluso il file winzip32.exe. Anche le impostazioni di Explorer vengono modificate disattivando la visualizzazione dei file nascosti e delle estensioni dei file conosciuti.
Infine, il worm aggiunge lo user Guest al gruppo Administrator dando così privilegi di amministrazione (Windows NT/2000). In più viene attivata la condivisione del disco C.
Queste ultime modifiche purtroppo non necessitano di riavvio del computer, come invece è necessario per il resto delle operazioni di infezione.
Come difendersi?
Prima di tutto aggiornare la versione di IE alla 5.5 o superiore.