Letta 1096 volte 23 febbraio 2007 alle 05.15 di netquik Fonte: Harry Waldron Blog
BootMerlin Worm Modifica Boot.ini
LINK:
BootMerlinMcAfee ha scoperto e descritto un nuovo codice malware, chiamato W32/BootMerlin, che, pur non costituendo un pericolo particolare (classificato ad un rischio basso), presenta una particolarità cioè si occupa di modificare il Boot.ini delle macchine Windows infettate.

BootMerlin è stato programma in Visual Basic probabilmente da un virus-writer di lingua spagnola.

Il worm è un "network walker" che colpisce le workstation modificando il file C:\Boot.ini dei sistemi infetti in modo tale che al riavvio della macchina vengono mostrati alcuni messaggi in spagnolo Anti-Windows o Anti-Microsoft. All'esecuzione il worm può anche mostrare una animazione Wizard modificata sempre in questo senso. BootMerlin crea delle copie di se stesso, camuffandole con l'icona dei documenti Word, sui dischi locali e di rete presenti nel sistema. Il codice nocivo è in grado di infettare altri sistemi usando gli stessi dischi di rete.

McAfee riporta i seguenti file e location usati dal worm (X è la lettera del disco usato sulla machina infetta e %Windir% è il riferimento alla cartella di sistema):

%Windir%\System\csrss.exe
%Windir%\System32\dllcache\G-Vulcan-III.exe
X:\Recuerda que te quiero.exe
X:\LINEAS TELEFONICAS SIJIN VIEJA.exe
X:\PODER SALDARRIAGA1.exe
X:\SOLICITUD A MI GENERAL.exe
X:\SEGURO BTA EQUIPOS.exe
X:\CURSO CONSTITUCIONAL.copia.exe

Ricordiamo che esiste un file csrss.exe "legittimo" che si trova nella cartella %Windir%\System32 e che fa parte del sistema operativo Windows.

Il worm crea anche la segeunte chiave di registro per autoeseguirsi al boot del sistema:


Ricapitolando, i sintomi di infezione da BootMerlin sono:  1. animazione Wizard con messaggi in spagnolo anti-Microsoft;  2. modifica del file C:\Boot.ini;  3. messaggi Anti-Windows o Anti-Microsoft mostrati dal Windows Boot Manager durante il boot;  4. presenza dei file menzionati precedentemente;  5. presenza della chiave di registro e della entry di boot WinSound.

I messaggi che appaiono al boot possono essere eliminati ripristinando il contenuto del file Boot.ini precedente all'infezione. Per farlo si può usare un editori di testo. Per esempio:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="AUN Usas Windows..?"/fastdetect

dovrà essere modificato in:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="{nome sistema}" /fastdetect {ozpioni}

Attualmente in rete non sono disponibili ulteriori descrizioni ed informazioni sul worm.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
 ONLINE
OSPITI 7
UTENTI 0
VISITE OGGI
233
 VISITE TOTALI
6.009.395
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional		  
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X