Kaspersky Lab ha pubblicato un testo informativo sul worm e-mail Zelathin. Il worm si diffonde via e-mail attraverso un allegato infetto. Il soggetto dell’e-mail, il testo del messaggio e l’allegato sono variabili. Il worm è costituito da un file PE (Portable Executable), compresso con UPX. Il worm copia se stesso sul disco e modifica il registro di sistema per essere certo di essere caricato automaticamente all’avvio. Il worm raccoglie gli indirizzi e-mail e automaticamente si spedisce connettendosi direttamente al server SMTP del destinatario. Il worm è in grado di superare tutta una serie di prodotti antivirus e firewall. Inoltre, grazie ad un rootkit in modalità kernel, riesce a nascondere i processi che lo coinvolgono, i cambiamenti di file e di registro. Se individua un file EXE o SCR sul computer della potenziale vittima, il worm copia se stesso sulla directory come file nascosto, con un nome generato a caso e aggiunge il proprio codice al file EXE o SCR.
Commento di Kaspersky Lab Questo worm è l’ultimo della serie di varianti Zhelatin. Come molti altri worm e-mail, utilizza la social engineering per convincere gli utenti ad aprire allegati infetti. Il modulo di Difesa Proattiva presente in KAV 6.0 e KIS 6.0 è in grado di bloccare queste nuove varianti senza bisogno di aggiornare le definizioni virus. Tuttavia, è stata creata una definizione specifica per questo tipo di minaccia ed è consigliabile aggiornare il database degli antivirus appena possibile.
E’ possibile consultare le istruzioni per la rimozione al sito http://www.viruslist.com/en/viruses/encyclopedia?virusid=149536 [David Emm, Senior Technology Consultant, Kaspersky Lab UK]
Nome completo: Email.Worm.Win32.Zhelatin.o Valutazione del rischio secondo Kaspersky Lab: Moderato
Discussione 0
Ancora nessun commento. Sii il primo a commentare!