Netsky variante D è un virus scoperto in data 1 marzo 2004, assai pericoloso per l’alta capacità di replicazione. Il virus, infatti, una volta infettato il pc, cerca tutti gli indirizzi e-mail contenuti in pagine web, indirizzari, script e documenti di testo memorizzati sulle unità locali, dalla lettera C alla lettera Z, e si autoreplica a tutti gli indirizzi di posta elettronica così reperiti. L’estensione dell’attachment virale è .pif. Soggetto, oggetto e nome dell’attachment sono casuali. Il subject dell’e-mail inizia per “Re:” (ad es. “Re: Your website”, “Re: Your product”, “Re: Your letter”, “Re: Your archive”, ecc.). Il body dell’e-mail invita all’apertura dell’attachment (da non aprire assolutamente!) che è sempre un file .pif. Il worm, una volta eseguito, si annida nella directory Windows con il nome “winlogon.exe” e si autoesegue all’avvio di Windows grazie ad una chiave “ICQ Net” inserita nei registri (su HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run) . Oltre ad annidarsi nel registro, il virus termina, prima, e cancella, dopo, dagli stessi alcuni processi d’avvio. Il 2 marzo, dalle 6 alle 9 del mattino, il worm fa suonare lo speaker interno del pc con un beep continuo a determinati intervalli. La pericolosità del virus è insita nella velocità di propagazione, alla stessa guisa dell’ormai noto virus Mydoom. Scheda tecnica su Symantec – Preleva la Cura by Symantec
mar
07