Jesse: Windows è un worm killer
Il worm Jesse, che si insinua in MSN Messenger, provoca danni molto gravi ai sistemi infetti e rende Windows inutilizzabile.
Il worm Jesse cerca di infettare il maggior numero possibile di computer tramite MSN Messenger. Il worm crea una copia dei file nelle directory principali dell'unità "C" o "A" e quindi elimina i file originali. Quindi apporta una serie di modifiche al registro e impedisce di aprire finestre per Task Manager, Pannello di controllo, Editor del registro e altre funzioni di sistema.
Jesse riavvierà il computer dopo aver eseguito azioni dannose, ma Windows non sarà più in grado di ricaricarsi a causa di file eliminati e altre modifiche.
Quando il worm Jesse si avvia, esegue le seguenti azioni:
1. Crea il seguente file
% System%\drivers\etc\jesse.exe.
2. Esegue la scansione dei file nelle directory principali delle unità A e C. Fa una copia di ciascuno dei file lì con un'estensione exe e quindi elimina i file originali.
3. Creare i seguenti file:
A: \Autore.txt
C: \ Autore.txt
% System% \ Antlist.bat
% System% \ win_nt.bat
% System% \ systemwork.bat
4. Modificare il database di registrazione
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
incluso nella chiave
“DisableTaskMgr” = “1”.
Questo rende inaccessibile il Task Manager di Windows.
5. Il database di registrazione
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
aggiunge alla tua chiave
“a” = “%System%\drivers\etc\jesse.exe”.
6. Il database di registrazione
HKEY_CURRENT_USER \ Software \ Impostazioni programma VB e VBA \ giorno \\\ umber
aggiunge alla tua chiave
“giorno” = valore “[…]”.
7. Il database di registrazione
HKEY_CURRENT_USER\Software\Impostazioni programma VB e VBA\ok\jessy
aggiunge alla tua chiave
“virus” = valore “infetto”.
8. Arresta i processi associati al software di sicurezza.
9. Tentativi di chiudere le finestre per Task Manager, Pannello di controllo, Editor del registro e altre funzioni di sistema
10. Verrà visualizzata una finestra di messaggio con l'intestazione “PROMOCION TELCEL” o “Protezione”.
11. Rende inaccessibile la finestra di MSN Instant Messenger.
12. Elimina le seguenti chiavi di registro:
HKEY_LOCAL_MACHINE \ software \ microsoft
HKEY_LOCAL_MACHINE \ hardware
HKEY_CURRENT_USER \ software \ microsoft
HKEY_CURRENT_USER \ hardware
13. Riavvia il computer, ma Windows non può più riavviarsi.