W32.Sonic.worm |
Quando viene eseguito il file infetto appare un messaggio nel quale si dice che il file non è un eseguibile di Win32. Questo messaggio viene visualizzato in francese o inglese. Il worm si copia in:
Windows System Directory\GDI32.EXE
e aggiunge la seguente chiave al registro:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/GDI32 = Windows System Directory\GDI32.EXE
Esso tenta, ogni dieci minuti, di accedere al sito http://www.geocities.com/ e di scaricare degli aggiornamenti criptati che poi decritta nella cartella:
Windows Directory\GDI32.EXE
Dopo il worm cambia la chiave del registro per puntare a:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/GDI32 = Windows Directory\GDI32.EXE
Il worm funge anche da backdoor e utilizza la porta numero 1973 per permettere le intrusioni.
Removal: