Il worm Posse si sta diffondendo su MSN Messenger

Il worm Posse è specializzato nella diffusione tramite i servizi di messaggistica istantanea di MSN Messenger e scarica file dannosi sui computer infetti.

Il worm Posse è apparso su MSN Messenger e sta cercando di diffondersi tramite messaggi ingannevoli. Il malware si invia a qualsiasi indirizzo elencato nella rubrica di MSN Messenger. Quindi tenta anche di inviare un file zip a questi utenti, che contiene anche i file associati al worm.

Le responsabilità di Posse includono il download di vari file dannosi su computer infetti su Internet e il loro salvataggio nella directory principale dell'unità C.

Quando il worm Posse si avvia, esegue le seguenti azioni:
1. Creare il seguente file:
% System% \ sp2.exe

2. Aggiungere la seguente voce al database di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”WindowsSp2″ = “C:\WINDOWS\System32\sp2.exe”

3. Creare o modificare le seguenti chiavi nel registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Internet Settings”ProxyEnable” = “00 00 00 00”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableTaskmgr” = “1”

4. Creare la seguente voce nel database di registrazione:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

5. Si connette a un sito Web e scarica da lì un file che è stato salvato nella directory principale dell'unità C come server.exe.

6. Collegarsi a un sito Web e scaricare da lì un file che è stato salvato nella directory principale dell'unità C come fotos_posse.zip.

7. Stai cercando di diffonderti tramite MSN Messenger. Il worm invia il seguente messaggio:
“Hola espero q te gusten las fotos 😉 me las hice ayer (y)”

8. Tentativi di trasferire il file fotos_posse.zip.