Seleziona pagina

Il worm Browaf è nascosto dietro un browser

Scritto da: | 2006 maggio 25 | | 0 |

Il worm Browaf si diffonde principalmente attraverso i servizi di messaggistica istantanea e cerca di nascondersi dietro un browser web.

Il worm Browaf è apparso finora principalmente su Yahoo Instant Messenger e sui servizi di messaggistica istantanea MIRC. Si diffonde attraverso messaggi che contengono anche collegamenti a vari siti Web dannosi. Il file worm viene scaricato da questi siti Web.

Browaf esegue alcune operazioni piuttosto spiacevoli. Modifica diverse voci nel registro e cambia le impostazioni predefinite di Internet Explorer. Il worm inserisce anche un'icona chiamata "Browser Internet" nel menu Start.

Un altro nome noto per il worm Browaf è W32.Browsesafe

Quando il worm Browaf si avvia, esegue le seguenti azioni:

1. Creare i seguenti file:
% UserProfile% \ Menu Start \ Browser Internet.lnk
% UserProfile% \ Menu Start \ Programmi \ Avvio \ YMSND.lnk
% Temp% \ Avvio.exe
C: \ YSND \ Ysnd.exe
% Temp% \ Browser.exe
% Temp% \ FtpBrowser.exe
% Temp% \ Sys.dll
% Temp% \ icon.ico

2. Il database di registrazione
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ RunServices
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run
aggiunge alle tue chiavi
“IE” = “C:\YSND\Ysnd.exe”.

3. Creare la seguente chiave nel registro:
HKEY_CURRENT_USER \ Software \ Impostazioni programma VB e VBA \ ThePowerGoat

4. Modificare il database di registrazione
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Internet Explorer \ Main
incluso nella chiave
“Pagina locale” = [http://]lamanweb.com/install/inde[…]”
“Pagina iniziale” = valori “[http://]lamanweb.com/install/inde[…]”.

5. Modificare il database di registrazione
HKEY_CURRENT_USER \ Software \ Microsoft \ InternetExplorer \ Main
incluso nella chiave
“Default_Page_URL” = “[http://]lamanweb.com/install/inde[…”
“HpDed” = “[http://]lamanweb.com/install/inde[…]”
“Pagina locale” = “[http://]lamanweb.com/install/inde…]”
“Pagina iniziale” = valori “[http://]lamanweb.com/install/inde[…]”.

6. Prova a diffondere tramite Yahoo Instant Messenger o MIRC.

7. Connettiti a un server remoto e scarica un file.

8. Aggiungere un'icona al menu Start con il nome "Browser Internet".

9. Verrà visualizzato un messaggio con il titolo "Download OK" e "Download completo…." con un messaggio

10. Verrà visualizzata una finestra di messaggio "Attendere prego...." con un messaggio.

Lettura: 1 837

Misurare:

Circa l'autore

Si aggrappa

Articoli correlati

Prova venti vite in un mese!

Prova venti vite in un mese!

2005-08-31

Precede Windows 8!

Precede Windows 8!

2013-07-01

Nuova patch C&C: Red Alert 3 ogni giorno

Nuova patch C&C: Red Alert 3 ogni giorno

2008-11-04

L'applicazione per la beta di Crysis è iniziata!

L'applicazione per la beta di Crysis è iniziata!

2007-09-11

bandiera

ranvé

Elettrodomestici Ranvee