Nome: I-WORM.Novarg.A
Alias:
Tipologia: Internet Worm Backdoor
Dimensione: 22,5 Kbyte
Piattaforma: Win 95/98/ME/NT/2000/XP
Descrizione:
Questo worm arriva attraverso la posta elettronica allegando un file di circa
22,5 Kb con estensione .EXE, .BAT, .CMD, .PIF, .SCR oppure .ZIP.
Il messaggio infetto puņ avere i seguenti oggetti:
HI
HELLO
ERROR
TEST
Mail Delivery System
Mail Transaction Failed
Server Report
STATUS
e le seguenti tipologie di corpo di messaggio:
Corpo: The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
Corpo: Mail transaction failed. Partial message is available.
Corpo: The message contains Unicode characters and has been sent as a binary
attachment.
Corpo: test
alcuni messaggio non hanno nessun corpo oppure sono costituiti da caratteri casuali.
Queste sono solo alcune tipologie di messaggi infetti inviati da Novarg.A.
L'allegato infetto puņ avere i seguenti nomi:
body
document
readme
data
test
message
doc
text
file
Se eseguito il worm Novarg crea i seguenti file:
shimgapi.dll
taskmon.exe
Il file TASKMON.EXE puņ essere sovrascritto dal worm.
Il worm Novarg modifica il file di registro per metterli in esecuzione automatica.
Il file shimgapi.dll viene messo in esecuzione automatica sovrascrivendo il CLSID
del file WEBCHECK.DLL.
Il worm Novarg attiva anche una componente BACKDOOR aprendo
le porte dal 3127 al 3198 TCP e rimane in ascolto.
27/01/2004 - Tutti i diritti riservati TG Soft S.a.s. - http://www.tgsoft.it
Analisi a cura: Ing. G. Tonello