Il worm si finge una patch per il gioco di World of Warcraft e quindi appena eseguito cerca di rubare username e password. Il nome del software nocivo è: W32.Wowlook@mm, intacca tutti i sistemi Windows.
Il worm è stato creato con lo scopo di rubare le credenziali per il gioco World of Warcraft, la scelta è andata su questo gioco perché è il più diffuso in rete. Il worm si nasconde sui server che gestiscono le sessioni e cerca di entrare nel computer delle vittime, quando si collegano.
Da un punto di vista tecnico il worm agisce nel seguente modo:
· Infetta in sistema appena è eseguito;
· Crea il file SetupV9.exe nella cartella C:\Windows\System;
· Crea il file Srvpl0.dll nella cartella C:\Windows\System32;
· Modifica la chiave nel registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\policies\Explorer\Run\ aggiungendo le sottochiavi: rundll32.exe, Srvpl0.dll, start WinLogon.exe per avviarsi all’avvio di Windows;
· Prende il controllo del file che lancia il gioco World of Warcraft che si chiama: wow.exe, questo per rubre username e password;
· Rubate le credenziali, accede al server per diffondersi negli altri computer che gestiscono le partite on-line;
· Crea una lista di indirizzi e-mail rubandoli dalla rubrica di Windows e da quella di Outlook, per spedirsi come allegato;
· Le informazioni sono memorizzate nel file: KBOutLook.log per essere riutilizzate in seguito.
Questi sono i passi seguiti dal worm, ovviamente una volta avviata l’infezione, va a introdursi anche negli utenti che non hanno il gioco, ma che eseguono il worm presente nell’allegato che arriva tramite e-mail.
Per quanto riguarda l’allegato è facilmente riconoscibile poiché ha sempre lo stesso nome: SetupV9.Zip che contiene al suo interno il file: SetupV9.exe.
Un’ultima modifica che il worm apporta dopo l’invio delle e-mail infette, è la modifica di una chiave di registro, che va a modificare tutte le pagine con estensione: Asp, html, htm e php, archiviate nel computer della vittima, aggiungendo un collegamento che appena è selezionato, scarica altro software nocivo prelevato dalla rete.
Il worm è stato creato con lo scopo di rubare le credenziali per il gioco World of Warcraft, la scelta è andata su questo gioco perché è il più diffuso in rete. Il worm si nasconde sui server che gestiscono le sessioni e cerca di entrare nel computer delle vittime, quando si collegano.
Da un punto di vista tecnico il worm agisce nel seguente modo:
· Infetta in sistema appena è eseguito;
· Crea il file SetupV9.exe nella cartella C:\Windows\System;
· Crea il file Srvpl0.dll nella cartella C:\Windows\System32;
· Modifica la chiave nel registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\policies\Explorer\Run\ aggiungendo le sottochiavi: rundll32.exe, Srvpl0.dll, start WinLogon.exe per avviarsi all’avvio di Windows;
· Prende il controllo del file che lancia il gioco World of Warcraft che si chiama: wow.exe, questo per rubre username e password;
· Rubate le credenziali, accede al server per diffondersi negli altri computer che gestiscono le partite on-line;
· Crea una lista di indirizzi e-mail rubandoli dalla rubrica di Windows e da quella di Outlook, per spedirsi come allegato;
· Le informazioni sono memorizzate nel file: KBOutLook.log per essere riutilizzate in seguito.
Questi sono i passi seguiti dal worm, ovviamente una volta avviata l’infezione, va a introdursi anche negli utenti che non hanno il gioco, ma che eseguono il worm presente nell’allegato che arriva tramite e-mail.
Per quanto riguarda l’allegato è facilmente riconoscibile poiché ha sempre lo stesso nome: SetupV9.Zip che contiene al suo interno il file: SetupV9.exe.
Un’ultima modifica che il worm apporta dopo l’invio delle e-mail infette, è la modifica di una chiave di registro, che va a modificare tutte le pagine con estensione: Asp, html, htm e php, archiviate nel computer della vittima, aggiungendo un collegamento che appena è selezionato, scarica altro software nocivo prelevato dalla rete.
Nessun commento:
Posta un commento
Lascia il tuo commento.....