I file Excel sono allergici al worm Dutan
Il worm Dutan.A tenta principalmente di distruggere i file creati con il foglio di calcolo Excel.
Il worm Dutan.A viene spesso trasmesso a computer selezionati tramite unità di rete o dispositivi di archiviazione rimovibili. Quindi crea alcuni file e modifica il database di registrazione. Il worm copia due file su ciascuna rete disponibile e unità rimovibile. Questi vengono comunicati da uno contenente il malware, mentre l'altro assicura che il worm possa essere caricato automaticamente quando i dispositivi di archiviazione vengono ricollegati.
Dutan.A esegue la scansione di tutti i file .xls disponibili sui PC infetti e vi aggiunge una stringa casuale di 2 KB. Questo può rendere inutilizzabili i file Excel.
Quando il worm Dutan.A si avvia, esegue le seguenti azioni:
- Crea i seguenti file:
% System% \ winxpsp2.dll
% System% \ csrsss.exe
% System% \ svchosts.exe - Copia i seguenti due file nella directory principale di ciascuna rete e unità rimovibile:
svchosts.exe
autorun.inf - Le seguenti voci vengono aggiunte al database di registrazione:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
“Microsoft OfficeTool” = “svchosts.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer
\MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}”BaseClass”
= “Guidare”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer
\MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}”BaseClass”
= “Guidare”
4. Cerca i file con estensione .xls a cui aggiungi una stringa di 2 KB assemblata in modo casuale.
