W32.Sonic.worm

Il suo nome è Win32.Sonic.Worm ed è stato scoperto il 9 Ottobre.

Esso si invia automaticamente via e-mail a tutti gli indirizzi contenuti nell'address book di Windows.

Una volta eseguito tenta di scaricare delle DLL commerciali le quali gli forniscono routines per aggiornarsi.

Esso crea anche una backdoor che consente la connessione in remoto di altri computer.

Le e-mail inviate hanno queste caratteristiche:

• Soggetto: Choose your poison
• Nome allegati: girls.exe, lovers.exe, filename may vary.
• Lunghezza dell'allegato: circa 25K. E' variabile.
• Porte: 1973, 19703

Quando viene eseguito il file infetto appare un messaggio nel quale si dice che il file non è un eseguibile di Win32. Questo messaggio viene visualizzato in francese o inglese. Il worm si copia in:

Windows System Directory\GDI32.EXE

e aggiunge la seguente chiave al registro:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/GDI32 = Windows System Directory\GDI32.EXE

Esso tenta, ogni dieci minuti, di accedere al sito http://www.geocities.com/ e di scaricare degli aggiornamenti criptati che poi decritta nella cartella:

Windows Directory\GDI32.EXE

Dopo il worm cambia la chiave del registro per puntare a:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/GDI32 = Windows Directory\GDI32.EXE

Il worm funge anche da backdoor e utilizza la porta numero 1973 per permettere le intrusioni.

Removal:

1. Se il worm è stato eseguito, rimuovi tutte le chiavi che ha inserito.
2. Se i file sono in uso, devi rimuovere le chiavi del registro è riavviare il computer.
3. Alla fine cancella tutti i files infetti.