Da alcuni giorni si sta diffondendo un nuovo worm, W32/Mimail-C, conosciuto anche come W32/Mimail.C@mm, I-Worm.NetWatch, W32/Bics@mm.
Il worm si diffonde via e-mail usando indirizzi presi dai pc infettati. Tutti gli indirizzi e-mail sono salvati sotto il file eml.tmp nella directory di windows.
Il worm crea il file netwatch.exe nella dir di Windows e aggiunge la seguente chiave nel registro di sistema:
W32/Mimail.C@mm, I-Worm.NetWatch, W32/Bics@mm
L'e-mail che il virus manda ha le seguenti caratteristiche:
SOGGETTO:
Re[2]: our private photos
CORPO DEL MESSAGGIO:
Hello Dear!
Finaly i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
ALLEGATO: photos.zip
Photos.zip contiene un eseguibile chiamato photos.jpg.exe
Durante la ricerca degli indirizzi e-mail sull'hard disk infetto, il worm esclude i files con le seguenti estensioni:
AVI
BMP
CAB
COM
DLL
EXE
GIF
JPG
MP3
MPG
OCX
PDF
PSD
RAR
TIF
VXD
WAV
ZIP
COME RIMUOVERLO MANUALMENTE?
Prima di tutto รจ necessario terminare il processo in esecuzione "netwatch.exe", premendo i tasti CTRL+ALT+CANC e selezionando il file incriminato.
Eliminare poi dal registro la seguente chiave (se esiste):
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NetWatch32
FIX DI RIMOZIONE:
Fix messo a disposizione da BitDefender:
http://www.bitdefender.com/bd/site/downloads.php?menu_id=20#
Scritto Da - eraser il 01 Novembre 2003alle ore 20:19:29