Ben’s Blog


Attenzione a: “Le mie foto calde”
7 Luglio, 2007, 5:04 pm
Archiviato in: Blogroll

Si sta diffondendo via MSN un worm con funzioni di IRC backdoor. Il messaggio con cui può arrivare può essere uno dei seguenti:

* Here are my very secret pictures for you.
* Here are my pictures from my vacation
* hmm is this you on the photo ?
* Check out my pics from my workplace.
* Nice new photos of me and my friends and stuff…
* ahh look this is my greatest picture made on vacation 2007, take a look
* Check out my nice photo album. :D
* hey regarde les tof de notre bande de fous. :p
* hey c’est toi dans ces tof!!???
* hey regarde les tof, c’est moi et mes copains entrain de…. :D
* j’ai fais pour toi cet album de photos tu dois le voire :p
* stp regarde cet album de photos je lai fais specialement pour toi et mes amis…
* mes photos chaudes :D
* t’as pas encore vu ces tof???
* hey kijk eens naar mijn nieuwe foto album
* hey bekijk eens mijn nieuwe foto album
* hmm ben jij dit op de foto ?
* hey kijk ! dit is een lijst van mijn nieuwste fotos !!
* ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p
* kijk dit zijn fotos van mij werkplek! :)
* hmm ben jij dit op de foto ?
* meine heißen ¯en Fotos ! :p
* le mie foto calde :p
* mis fotos calientes
* mi fotografìas :p
* Mi amigo tom
* las fotos agradables de mí :p
* mis fotos calientes
* el lol mi hermana quisiera que le enviara este álbum de foto

Il messaggio arriva insieme al file myalbum2007.zip. Una volta accettato il trasferimento e decompresso il file, l’eseguibile si chiama photo album-2007.scr che, eseguito, copia il malware sysprinters.dll sotto la directory di sistema di Windows (C:\WINDOWS\system32\). myalbum2007.zip viene copiato sotto la directory principale di Windows.

Sia photo album-2007.scr che sysprinters.dll sono riconosciuti da Prevx come Backdoor.IRCBot.gen. La dll, caricata all’avvio come CLSID e invocata da

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

ha funzioni di backdoor, si connette ad un server IRC remoto e rimane in attesa di comandi.

Per la rimozione è possibile utilizzare Prevx automaticamente o, altrimenti, scaricare The Avenger e inserire come script manuale ciò che è scritto qui sotto:

Files to delete:
%windir%\system32\sysprinters.dll
%windir%\myalbum2007.zip

Credit: http://www.pcalsicuro.com

O Commenti