Completiamo
Allora se parlavi di Badtrans completiamo la risposta così facciamo più in fretta:
--
Il worm Badtrans.b arriva via e-mail con la seguente struttura:
Oggetto: Un oggetto variabile
Allegato: Un allegato dal nome variabile tra:
FUN
HUMOR
DOCS
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS
Questi allegati hanno una doppia estensione, la prima è a scelta tra:
DOC
MP3
ZIP
mentre la seconda può essere:
pif
scr
Una volta aperta la mail ed eseguito l'allegato, il worm crea una copia di se stesso in un file chiamato WINSVC.EXE assieme a un virus Windows-executable (PE) con il nome di WQK.EXE (Trend Micro ha scoperto questo worm con il nome di PE_ELKERN.A). Klez aggiunge due istruzioni al registro di Windows per fare in modo che vengano eseguiti all'avvio del Sistema Operativo. Le chiavi di registro create dal virus sono le seguenti:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Wqk = %System%\Wqk.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
WinSvc = %System%\WinSvc.exe
Inoltre Klez aggiunge molte copie di se stesso (e dei suoi componenti virali) alla cartella dei file temporanei di Windows. Per diffondersi utilizza poi diversi sistemi soprattutto invia email utilizzando la vostra rubrica estraendola dai file Windows Address Book (WAB) che trova sul vostro pc.
Questo worm si comporta in modo intelligente come altri suoi predecessori quali SirCam, CodeRed, CodeBlue e Nimda. Infatti, basandosi sul calendario di Windows, il giorno 13 di ogni mese pari (Febbraio, Aprile, Giugno e così via...) il worm tenta di eseguire il suo distruttivo payload. Per tutti i drive fissi e removibili il virus sovrascrive tutti i file con altrettanti file ma di lunghezza zero. Fortunatamente questa routine contiene un errore nel generare i nomi dei drive quindi non riesce a variare la lunghezza dei file ivi contenuti.
--
da zdnet
Ciao
Al
--
Remember me? No? oh...well...fuck you!