Nome: I-WORM.Novarg.A

Alias: 

Tipologia: Internet Worm Backdoor

Dimensione: 22,5 Kbyte 

Piattaforma: Win 95/98/ME/NT/2000/XP 

Descrizione:

Questo worm arriva attraverso la posta elettronica allegando un file di circa
22,5 Kb con estensione .EXE, .BAT, .CMD, .PIF, .SCR oppure .ZIP.
Il messaggio infetto puņ avere i seguenti oggetti: 

    HI
    HELLO
    ERROR
    TEST
    Mail Delivery System 
    Mail Transaction Failed 
    Server Report 
    STATUS


e le seguenti tipologie di corpo di messaggio:

Corpo: The message cannot be represented in 7-bit ASCII encoding
           and has been sent as a binary attachment.


Corpo: Mail transaction failed. Partial message is available.

Corpo: The message contains Unicode characters and has been sent as a binary
           attachment.


Corpo: test


alcuni messaggio non hanno nessun corpo oppure sono costituiti da caratteri casuali.
Queste sono solo alcune tipologie di messaggi infetti inviati da Novarg.A.

L'allegato infetto puņ avere i seguenti nomi: 

    body
    document 
    readme 
    data 
    test 
    message 
    doc 
    text 
    file 



Se eseguito il worm Novarg crea i seguenti file:

    shimgapi.dll
    taskmon.exe 


Il file TASKMON.EXE puņ essere sovrascritto dal worm. 
Il worm Novarg modifica il file di registro per metterli in esecuzione automatica. 
Il file shimgapi.dll viene messo in esecuzione automatica sovrascrivendo il CLSID
del file WEBCHECK.DLL.
Il worm Novarg attiva anche una componente BACKDOOR aprendo
le porte dal 3127 al 3198 TCP e rimane in ascolto.


27/01/2004 - Tutti i diritti riservati TG Soft S.a.s. - http://www.tgsoft.it

Analisi a cura: Ing. G. Tonello