I file RAR sono infettati dal worm Tigape
Tigape, che si diffonde tramite e-mail.Il worm cerca principalmente di nascondersi dietro i file RAR e disarma il software di sicurezza dei computer infetti.
Tigape.A worm si diffonde principalmente tramite e-mail. Gli indirizzi di posta elettronica richiesti vengono raccolti dalla rubrica di Windows. Il worm crea una serie di file su unità locali e di rete disponibili e la maggior parte delle volte si maschera da file .rar.
La più grande minaccia per il worm Tigape.A è che disabilita il software di sicurezza in esecuzione sui computer infetti, comprese le applicazioni antivirus e i firewall. Il worm non risparmia il firewall integrato di Windows, perché cerca anche di disattivarlo modificando il registro.
Quando il worm Tigape.A si avvia, esegue le seguenti azioni:
1. Creare un file come segue:
% System% \ wservice.exe
2. Si copia su tutte le unità locali o di rete disponibili. Il worm utilizza un'estensione ".t" e un nome file di otto caratteri.
3. Creare un file rar con nomi di file di sette caratteri generati casualmente su ciascuna unità locale o di rete disponibile.
4. Creare il seguente file:
% CurrentFolder% \ [sette caratteri casuali] .exe
5. Il database di registrazione
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
aggiunge alle tue chiavi
"UpdateService" = valore "%System%\wservice.exe...".
6. Il database di registrazione
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess
aggiunge alla tua chiave
“Inizio” = valore “4”.
Questo disabilita il Windows Firewall integrato.
7. Raccogliere indirizzi e-mail dalla Rubrica di Windows e inoltrarli a loro.
Il soggetto delle foglie infette può essere:
Novità della Casa Bianca!
URG
ATTENZIONE A TUTTI!
LEGGERE E RENDERE AL PI PRESTO!
Notizie incredibili!
NOTIZIA!
ATTENZIONE
NOTIZIE URGENTI!
Le email allegate possono avere uno dei seguenti file allegati:
open.exe
truth.exe
war.exe
ultimo.exe
su me.exe
a.exe
mai.exe
ultime news.exe
leggimi.exe
8. Arresta i processi associati al software di sicurezza.