Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile

W32.Pahatia.A è un worm che si copia nelle cartelle locali e tenta di riavviare il computer infetto se determinati processi sono in esecuzione.

COSA FA

Quando viene eseguito, W32.Pahatia.A si comporta nel modo seguente:

1. Si copia con i nomi seguenti:
* C:Documents and SettingsAll UsersDesktopMy Documents.exe * C:Documents and SettingsAll UsersStart MenuProgramsMy Documents.exe * C:Program FilesMicrosoft OfficeTemp.exe * C:WINDOWSsecuritykrnl32.bat * C:WINDOWSsystemAku Bisa Tanpamu.exe * C:WINDOWSsystemAku Kecewa.exe * C:WINDOWSsystemDibalas Dengan Dusta.exe * C:WINDOWSsystemISASS.exe * C:WINDOWSsystemKau Pikir Kaulah Segalanya.exe * C:WINDOWSsystemLNETINFO.exe * C:WINDOWSsystemmr.abram’s.exe * C:WINDOWSsystemSejauh Mungkin.exe * C:WINDOWSsystemTak Seperti Dulu.exe * C:WINDOWSsystemViva Elektro.exe * C:WINDOWSsystem32Patah_0[RANDOM].exe * C:WINDOWShkcmd.exe * C:WINDOWSsystem.exe

2. Tenta di copiarsi come Dati [NOME COMPUTER].exe nelle seguenti cartella e unità:
* %­UserProfile%My Documents
* D:
* E:
* F:
* G:
* H:
* I:
* J:
* K:
* L:
* M:
* N:
* Z:

3. Cerca nella sottocartella di %­UserProfile%My Documents e si copia come [NOME CARTELLA].exe.

4. Crea il seguente file di testo come marcatore di infezione:
C:Patah Hati.txt

5. Si copia come il seguente file in modo da essere eseguito ad ogni avvio di Windows:
C:Documents and SettingsAll UsersStart MenuProgramsStartupsystem startup.pif

6. Aggiunge i valori:
“Patah Hati” = “C:WINDOWSsystemISASS.exe"<br />"user logon” = “C:WINDOWSHelpuser logon.exe"<br />alla sottochiave del registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun in modo da essere sempre eseguito all’avvio di Windows.<br /><br />7. Aggiunge il valore:<br />"HotKeysCmds” = “C:WINDOWShkcmd.exe” alla sottochiave del registro:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun in modo da essere sempre eseguito all’avvio di Windows.

8. Aggiunge il valore:
“Shell” = “Explorer.exe "C:Program FilesMicrosoft OfficeTemp.exe"” alla sottochiave del registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon in modo da essere sempre eseguito all’avvio di Windows.

9. Aggiunge il valore:
“NoFind” = “1” alla sottochiave del registro: HKEY_CURRENT_USERSoftwarePoliciesMicrosoftCurrentVersionPoliciesExplorer per disabilitare l’accesso alla funzione di ricerca.

10. Aggiunge i valori:
“NoRun” = “1"<br />"NoFolderOptions” = “1” alla sottochiave del registro: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer per disabilitare l’accesso alla funzione Esegui e per impedire all’utente di modificare le opzioni delle cartelle.

11. Modifica i valori:
“DisableTaskMgr” = “1"<br />"DisableCMD” = “1"<br />"DisableRegistryTools” = “1"<br />nella sottochiave del registro: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem per disabilitare Windows Task Manager, il prompt dei comandi e l’Editor del registro di sistema di Windows.<br /><br />12. Modifica i valori:<br />"HideFileExt” = “1"<br />"Hidden” = “2” nella sottochiave del registro: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced per nascondere le estensioni dei file.

13. Aggiunge il valore:
“RegisteredOrganization” = “mr.abram’s"<br />alla sottochiave del registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion<br /><br />14. Tenta di riavviare il computer infetto se rileva che i seguenti programmi sono in esecuzione:<br />* msconfig.exe<br />* regedit.exe<br />* taskmgr.exe<br />* cmd.exe<br />* ntvdm.exe<br />* setup.exe<br />* x-raypc.exe<br />* rx box.exe<br />* processxp.exe<br />* hijackthis.exe<br />* sysmech6.exe<br />* integrator.exe<br />* rstrui.exe<br />* mmc.exe<br />* winamp.exe<br /><br />COME RIMUOVERLO<br /><br />1. Disattivare il Ripristino configurazione di sistema.<br />2. Aggiornare il proprio antivirus.<br />3. Eseguire una scansione completa del sistema in modalità provvisoria.”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *