Descrizione Breve

Scold è un mass mailer worm rilevato l'11 Dicembre 2003. Questo worm utilizza un semplice sistema di scambio di stringhe per tentare di sottrarsi alla rilevazione.

Descrizione Dettagliata

Il worm è stato scritto in Visual-Basic e compresso con UPX.

La dimensione del file comresso è 28160 bytes. Una volta decompresso diventa 61440 bytes.

L'autore del worm ha tentato di rendere difficile la rilevazione del worm scambiando le stringhe principali nel codice del worm. Alcune di queste sono invertite mentre altre sono scritte carattere per carattere

Disinfezione

Per rimuoverelo è sufficiente cancellare i file dal sistema.

Installazione nel sistema

Il worm si copia nella cartella di sistema di Windows con il nome "Warm.scr". Per ottenere il path utilizza il metodo GetSpecialFolder.

Viene aggiunta una chiave nel registro di windows in:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ExeName32"

che punta a "Warm.scr", in modo da venir eseguito all'avvio di Windows.

Diffusione via e-mail.

L'Oggetto delle mail è scelto tra i seguenti:

- When It's Cold Outside She Gives Me Warm Inside - Fw:When It's Cold Outside She Gives Me Warm Inside - Re:When It's Cold Outside She Gives Me Warm Inside

Il corpo della mail contiene uno dei seguenti testi:

- You will love this cute picture. - Enjoy this great picture. - Don't miss this cool picture.

Seguito da altri testi simili a questo:

Free Online Virus Scan. No viruses or suspicious files were found in the attached file.

L'allegato ha estensione ".scr".

Spedisce messaggi a tutti gli indirizzi mail dalla rubrica dell'utente. Inoltre reperisce gli indirizzi mail dai file HTML presenti sull'hard disk del computer.

Rilevazione

F-Secure Anti-Virus è in grado di rilevare il worm con gli aggiornamenti pubblicati il 11 Dicembre 2003:

[FSAV_Database_Version] Version=2003-12-11_01

Dettagli tecnici: Ero Carrera, 11 Dicembre 2003

F-Secure Corporation