I Laboratori di Panda Security hanno scoperto il nuovo worm Tixcet.A. Questo codice cancella file con diverse estensioni e li sostituisce con una copia di se stesso, mantenendo il nome originale. I file coinvolti sono quelli di:
– Office: .DOC, .XLS, .PPT, .MDB, .PDF e .XML.
– Multimediali: .MP3, .3GP, .DAT, .MOV e .WAV.
– Compressi: .ZIP e .RAR.
– Immagini : .JPG, .BMP e .GIF.
– Eseguibili: .BAT, .COM e .SCR.
Questo significa che gli utenti potrebbero perdere le proprie foto, canzoni, documenti Word ed altri importanti file.
Inoltre, non consente di copiare alcun file, in quanto disabilita l’opzione “Incolla” ed i contenuti che si vogliono riprodurre. Infatti, il testo che viene copiato non è selezionato dall’utente, ma direttamente dal worm.
Tixcet.A crea anche i seguenti file, copie del worm stesso:
FILES.EXE, UNTITLED.EXE, ADMINISTRADOR.EXE, CETIX.EXE e XZ.EXE, nella root directory C: drive.
CETIX.EXE e RACUN.EXE, nella Windows directory.
POISON.EXE e TOXIC.EXE, nella Windows system directory.
VSERVE.EXE, nella Startup directory. In questo modo il worm si assicura l’esecuzione ogni volta che Windows viene avviato.
I codice maligno raggiunge i computer travestito da documento Word e i file che genera contengono la firma dell’autore.
I Laboratori di Panda Security hanno messo a punto un video che illustra nel dettaglio il comportamento di questo worm: http://www.pandasecurity.com/img/enc/TixcetA.wmv