[BioNews] Trasmissione messaggio Mailing-list Dip. Biologia

Angelo demartino@bio.uniroma2.it
Mon, 11 Feb 2002 12:15:02 +0100 

 Scusate l'ennesima intrusione, ma un nuovo virus si affaccia. Di seguito,
alcune infirmazioni ed alcuni link su dove reperire pacth ed informazioni
aggiuntive. Vi consiglio caldamente di aggiornare internet exoplorer alla
versione 6.0.

Angelo

@@@@@@@@@@@@@@@@@
Dr. De Martino Angelo
Webmaster
Dept. of Biology
University of Rome "Tor Vergata"
Via Ricerca Scientifica s.n.c.
00133 Rome Italy
Tel. 39 06 72594360 / 74
FAX 39 06 72594311
E-mail webmaster@bio.uniroma2.it
@@@@@@@@@@@@@@@@@
W32/Klez-G

Nuovo allarme virus lanciato dai più autorevoli specialisti della sicurezza.
L'ultima insidia si chiama W32/Klez-G ed è un worm.

Il messaggio di email con cui si diffonde ha le seguenti caratteristiche:

Oggetto: random tra le seguenti possibilità

  a.. How are you

  b.. Let's be friends

  c.. Darling

  d.. Don't drink too much

  e.. Your password

  f.. Honey

  g.. Some questions

  h.. Please try again

  i.. Welcome to my hometown

  j.. the Garden of Eden

  k.. introduction on ADSL

  l.. Meeting notice

  m.. Questionnaire

  n.. Congratulations

  o.. Sos!

  p.. japanese girl VS playboy

  q.. Look,my beautiful girl friend

  r.. Eager to see you

  s.. Spice girls' vocal concert

Testo del messaggio: composto in modo random dal worm, in alcuni casi questo
campo resta vuoto.

Allegato: con estensione scelta in modo random tra .PIF, .SCR, .EXE o.BAT.

Il nome del mittente viene scelto tra una lista interna al worm.

Questo worm tenta di sfruttare alcune vulnerabilità insite nei software:
Microsoft Outlook, Microsoft Outlook Express e Internet Explorer; la
vulnerabilità è ormai nota e a questo indirizzo microsoft, (non funziona
n.d.r.)è disponibile la patch.
W32/Klez-G cerca inoltre di disabilitare eventuali software antivirus e
tenta la cancellazione di alcuni files relativi a questi pacchetti di
sicurezza. Questo worm si autoduplica nel sistema utilizzando un nome random
ed inoltre modifica la chiave di registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ , aggiungendo le
informazioni necessarie per essere eseguito allo start up del sistema.

Ulteriori informazioni sono disponibili ai seguenti indirizzi:

http://www.sophos.com/virusinfo/analyses/w32klezg.html

http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.d@mm.html