| Tipo: Virus | Rischio: basso |
| Trasmissione: E-Mail | Dimensione file: ND |
| Fonte: Symantec | Piattaforma colpita: Windows |
| Data di scoperta: 14 Giugno 2006 | Rimozione: ND |
Danni: Apertura di una backdoor che consente l'accesso non autorizzato al sistema
In Breve
Mdropper è un virus che si autoinvia via mail come allegato
Excel. Se il file viene, eseguito il virus forza una
vulnerabilità di Excel non corretta da Microsoft (al momento di
scrittura di questa scheda) ed installa una backdoor in grado di dare
ad utenti il controllo incondizionato del computer. Il virus è
della stessa famiglia di Mdropper già recensito
in questa sezione.
Diffusione
Il virus ha ricevuto da Symantec il valore 1 (su 5) di
pericolosità, risulta per questo poco diffuso in rete.
Attivazione
Il virus si attiva eseguendo l'allegato Excel infetto ricevuto per
posta elettronica. L'allegato è nominato come okN.xls.
Azioni
Il worm, dopo l'attivazione, compie le seguenti operazioni:
- Esegue l'exploit per la vulnerabilità di Microsoft Excel
- Copia ed esegue la backdoor Booli.A come file svc.exe presente nella cartella di sistema di Windows
- La backdoor Booli.A copia se stessa nella
cartella C:\ con il nome di
temp.exe - La backdoor Booli.A crea un file vuoto in
C:\ chiamato
bool.ini - La backdoor Booli.A rimane in attesa di comandi da parte del suo amministratore
Rilevamento
Il worm può essere rilevato se nell'elenco dei file di
Windows contenuti nella cartella C:\ viene reperito (attraverso
una ricerca tra i file) uno dei seguenti file creati dal worm: bool.ini.
Rimozione
Per rimuovere il virus è consigliabile una scansione con un
antivirus aggiornato, anche online.
