DESCRIZIONE
Si tratta di un worm che arriva via posta elettronica attraverso
un allegato con un nome casuale, anche l’oggetto della mail cambia in
modo casuale. L’estensione può essere .SCR o .BAT.
Dopo l’esecuzione del file allegato, il worm copia se stesso in un file
sulla cartella C:\RECYCLED con un nome di 4 lettere. Automaticamente imposta
l’attributo nascosto, in modo da non essere visibile agli utenti.
Il virus spedisce e-mail infette prendendo gli indirizzi dalle rubriche
dell’utente. Crea file con estensione .TXT nella directory Windows, contenenti
il testo seguente:
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & fUCk tHE
GFORCE-pAK shites
bY
sNAkeeYes,c0Bra
Nella cartella C:\WINDOWS crea un file con il nome FILEFILE.DLL, dove
file viene sostituito con il nome del file eseguibile. Per esempio,
se l’eseguibile è ABBD.EXE, il file creato prende il nome ABBDABBD.DLL.
Non si tratta di una vera libreria, ma di un archivio per gli indirizzi
di posta elettronica.
Altri nomi con cui può presentarsi sono:
W32.Yaha.F@mm;
W32/Yaha.E;
I-Worm.Lentin.f;
W32/Lentin.E;
Worm/Lentin.F;
Yaha.E;
W32/Yaha.g@MM.
PROPAGAZIONE
Il virus si crea una lista di indirizzi di destinatari per lo
spamming, utilizzando le rubriche dell’utente. Utilizza il protocollo
SMTP (Simple Mail Transfer Protocol) per spedire copie di se stesso
agli indirizzi trovati.
Come mittente delle e-mail utilizza a turno gli indirizzi della rubrica,
in modo che non sia riconoscibile il vero utente infettato.
L’oggetto della e-mail è preso casualmente dalla lista seguente:
• Are you looking for Love
• Best Friends
• Bullshit
• charming
• Check the attachment
• Check ur friends Circle
• Dont wait for long time
• Easy Way to revel ur love
• Enjoy friendship
• Enjoy Romantic life
• Enjoy the attachement
• excite
• Find a good friend
• for you
• Free Screen saver
• Friendship
• Friendship
• Friendship Screen saver
• Funny
• Great
• how are you
• How sweet this Screen saver
• http://www.pak.gov.pk
• humour
• I am For u
• Idiot
• Interesting
• Interesting
• Learn How To Love
• Let's Dance and forget pains
• Let's Laugh
• Life for enjoyment
• Looking for Friendship
• love speaks from the heart
• LoveGangs
• make ur friend happy
• More details attached
• Need a friend?
• Nothink to worryy
• One Hackers Love
• One Way to Love
• Origin of Friendship
• powful
• relations
• Romantic
• Say 'I Like You' To ur friend
• Screensaver
• searching for true Love
• See the attachement
• Send This to everybody u like
• Shake it baby
• Shake ur friends
• Shaking
• stuff
• The world of Friendship
• The world of lovers
• to check
• to enjoy
• to see
• to share
• to ur friends
• to ur lovers
• to watch
• True Love
• U r the person?
• U realy Want this
• Ur My Best Friend
• war Againest Loneliness
• Who is ur Best Friend
• Wonderfool
• wOW CHECK THIS
• Wowwwwwwwwwww check it
• you care ur friend
Il testo del messaggio comprende sempre quanto riportato di seguito:
Hi Dear
Check the attach
See u
See the attachement/Enjoy the attachement/More details attached
Il file allegato può essere una combinazione delle seguenti estensioni:
• .bmp
• .dat
• .gif
• .htm
• .jpg
• .mdb
• .mp3
• .mpg
• .txt
• .wav
• .xls
con una seconda estensione:
• .bat
• .scr
e il nome preso tra i seguenti:
• biodata
• dailyreport
• goldfish
• love
• mountan
• report
• resume
• weeklyreport
ISTRUZIONI PER RIMUOVERE IL VIRUS
Per rimuovere completamente l’infezione è necessario individuare
il programma infetto. Si deve utilizzare un prodotto antivirus aggiornato
e fare la scansione di tutti i dischi. È necessario rimuovere tutti
i file infetti.
Non è sufficiente, dopo la scansione seguire le seguenti istruzioni:
- Riavviare il computer in modalità provvisioria;
- Digitare i tasti CTRL + ALT+ CANC e aprire il Task Manager;
- Selezionare il programma che rappresenta il virus;
- Fare un clic sul pulsante TERMINA OPERAZIONE;
- Fare un clic su START – ESEGUI, digitare COMMNAD e premere INVIO;
- Nella finestra MS-DOS digitare il comando:
CD \WINDOWS
(WINNT per i sistemi Windows 2000, NT e XP);
- Premere INVIO, e digitare il seguente comando:
REN REGEDIT.EXE REGEDIT.COM;
- Premere INVIO e chiudere la finestra MS-DOS;
- Fare un clic su START – ESEGUI e digitare REGEDIT.COM, infine premere
INVIO;
- Nella parte sinistra della finestra aprire il percorso seguente:
HKEY_CLASSES_ROOT – EXEFILE – SHELL – OPEN – COMMAND;
- Nella parte destra della finestra cercare la chiave “Default” e
selezionarla;
- Fare un clic con il tasto destro sopra la chiave e scegliere PROPRIETÀ;
- Sostituire la stringa presente con "%1" %*, che è quella predefinita;
- Chiudere tutte le finestre e riavviare il PC.