Occhi sul Web        

domenica 1 luglio 2007

Un worm al posto di un file Flash

Se state lavorando al PC e vi trovate di fronte il messaggio “Error loading flash 10 player. Reistalling may fixed this problem”, niente paura, il computer non sta dando i numeri, ma semplicemente è stato infettato dal worm Trixcu.A.

Come tutti i worm, anche questo, quando infetta il PC, inizia a fare copie di se stesso in tutte le cartelle del sistema. Inoltre, controlla se il computer infettato è connesso alla rete: in caso positivo inizia a diffondersi anche attraverso di essa.

Riesce ad accedere al registro di Windows e ne modifica alcune chiavi in modo tale da disabilitare le seguenti funzioni:

  • “Cerca” dal menù Start;
  • “Impostazioni accesso ai programmi”;
  • “Task Manager”;
  • Il comando “regedit” che apre il registro di Windows.

Una volta apportate le seguenti modifiche, il malware riavvia il sistema eseguendo attraverso la shell di Windows questo comando:
shutdown.exe - s - f - t 1

Se affetti da questo worm, non sarà più possibile visualizzare le estensioni dei file, quindi non si potrà più distinguere un eseguibile da un file di testo ecc: un modo questo per nascondere facilmente codici maligni dietro file apparentemente innocui.

Infine, viene creato un file HTML che visualizza una pagina Web in cui, l’autore del malware, da pieno sfogo al suo rancore verso tutti i potenti del mondo e ai paesi che sono in guerra.

Fonte

Nessun commento:

Google

Ricevi aggiornamenti via mail:

Delivered by FeedBurner