Tempo di Lettura: 1 minuti
E’ notizia recente quella della diffusione su Internet di un nuovo malware (classificato a medio rischio) creato dalla fusione di uno worm, uno spyware e un keylogger!
Si chiama WORM_WURMARK.J ed oltre ad avere le caratteristiche classiche dei worm (auto-spedirsi via mail attraverso motore interno smtp), è residente in memoria ed è in grado di installare un proprio spyware in una cartella con nome casuale (creata in %SysDir%, che, sotto Windows 2000 e NT, è pari a C:\Winnt\System32 ; sotto Windows 95/98/Me, è C:\Windows\System e sotto XP è C:\Windows\System32). Come se non bastasse, oltre a riuscire a disabilitare il firewall di Windows XP SP2, WURMARK.J, installa, sempre con nome casuale, una Dll che registra tutte le sequenze di tasti battuti sulla tastiera, ovvero installa un keylogger.
Nel tentativo di auto-spedirsi allegando file zip contenenti il suo codice maligno, questo worm, usa subject diversi.
Arriva via mail con allegato un file zippato (~100KB), all’interno del quale è presente un file con doppia estensione; la prima estensione potrà essere un file: .txt .jpg .wav .doc . mp3
, mentre la seconda sarà sempre un file con estensione .scr
Per l’invio di email infette utilizza un proprio motore SMTP (Simple Mail Transfer Protocol), gli indirizzi a cui allegarsi verranno cercati all’interno di tutti i file con queste estensioni: .asp .dbx .eml .htm .mbx .sht .tbb
.
Per maggiori dettagli potete visitare il sito de Il Software