Vermi ( Worm ) in quantita'

Un nuovo identity file (Ide) e' disponibile sul sito di Sophos e sara' incluso nella versione di dicembre 2003 (3.76) di Sophos Anti-Virus. Finora Sophos ha ricevuto solo una segnalazione su W32/Inmotecd-A, un nuovo worm costituito da un file a 32 bit. Questo worm e' anche noto come Trojan.Win32.Inmota, TROJ_INMOTECD.A. Maggiori informazioni su W32/Inmotecd-A sono disponibili all'indirizzo della Sophos.
Questo nuovo worm come gli altri si replica attraverso software per Posta Elettronica, quindi anche gli Outlook della Microsoft. Il messaggio di posta che lo porta ha come oggetto "Re: 0!~" ed ha un allegato dal nome default.htm.pif dove e' un elevato numero di spazi cosi da nascondere alla vista del destinatario la vera estenzione del file. Aprendo l'allegato comparira' una message box "Welcome Microsoft CD Key web site Press OK to open the Web" , all'ok Internet exloper punta sull'URL http://omnitechdesign.com/ cdkey.html . A questo punto il worm si duplica nella cartella System di Windows droppando inoltre il file rundl132.exe and Gate.dll. A livello di registro viene inserita le seguenti entries: HKLM\Software\Microsoft\Windows\CurrentVersion\ Run = rundl132.exe powrprof.dll,loadcurrentpwrscheme e HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunPowerProfile = rundl132 kernel.dll,PowerProfileEnable e' una sub-key che il worm cambia di volta in volta. Il worm modifica tutte le sub-keys di KLM\Software\Microsoft\Windows\CurrentVersion\Run\ i cui dati contengono la stringa "Rundll". Trovate le istruzioni per l'eventuale rimozione su :
Sophos