Merevlemez-formázó féregvírus

A fertőzött e-mail jellemzői

Tárgy: a következőkből választ egyet véletlenszerűen:
. What New in TechTV!
. Do you happy?
. Great News! Check it out now!
. Just for Laught!
. TIPs: HOW TO JUMP PC TO PC VIA INTERNET?
. FoxNews Reporter: Hello! SARS Issue!
. Get Free XXX Web Porn!
. Oh, my girl!
. Crack – Download Accerelator Plus 5.3.9
. Do you remember me?
. The ScreenSaver: Wireless Keyboard
. VBCode: Prevent Your Application From Crack
. Re: are you married?[1]
. Download WinZip 9.0 Beta
. Young and Dangerous 7
. Alert! W32.Anacon.B@mm Worm has been detected!
. Run for your life!
. Update: Microsoft Visual Studio .Net
. Your Password: jad8aadf08
. Tired to Search Anonymous SMTP Server?
. [Üres Tárgy]
Tartalom: Hi dear,
Once I was first saw you, I was fall in love! Even you are already has special friend!
Fall In Love,
Rekcahlem ~=~ Anacon
Csatolmány: Anacon.exe

A féreg paraméterei

Felfedezésének ideje: 2003. május 26.
Védekezés elkészültének ideje: 2003. május 27.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 86.016 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System könyvtárban, az alábbi nevek egyikén:
. anacon.exe
. build.exe
. force.exe
. scan.exe
. runtime.exe
. hangup.exe
. hungry.exe
. thing.exe
. against.exe
. wars.exe
. syspoly32.exe
. SysAna32.exe
– hozzáadja a következő bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz:
Nocana=[System elérési útvonala]/wars.exe
AHU=[System elérési útvonala]//SYSPOLY32.EXE
SysAnacon32=[System elérési útvonala]/SysAna32.exe
– hozzáadja az InterceptedSystem=[System elérési útvonala]//SYSPOLY32.EXE bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– hozzáadja a PowerManagement=[System elérési útvonala]//SYSPOLY32.EXE bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz
– a HKEY_CURRENT_USER/Software/Mirabilis/ICQ/Agent/Apps/Gvjlkfbip Registry kulcshoz a következő bejegyzéseket adja hozzá:
Startup=[System elérési útvonala]
Enable=Yes
Parameters=˝˝
Path=[System elérési útvonala]//SYSPOLY32.EXE
– leállítja a saját listájában szereplő, és az operációs rendszerre esetlegesen feltelepített behatolás- és vírusvédelmi szoftverek futó processeit
– leállítja a Norton Antivirus Auto Protect Service service-t
– eltünteti a Trojan Defence Suite-ot
– letörli az összes állományt a C:/SAFEWEB könyvtárból
– MAPI használatával elküldi magát a fent ismertetett karakterisztikában az összes címre, ami a Windows Address Bookjában található
– amennyiben a Microsoft IIS telepítve van a rendszerre, a féreg megkísérli létrehozni az Anadeface.bat állományt, amely futtatásával a következő események történnek:
. a /Inetpub/wwwroot/ könyvtárban levő állományok egy részét átnevezi, a következőképp:
index.htm -> Anacon_Index.htm
index.html -> Anacon_Index.html
index.asp -> Anacon_Index.asp
default.htm -> Anacon_Default.htm
default.html -> Anacon_Default.html
default.asp -> Anacon_Default.asp
. az eredeti állományokat felülírja a következő szöveggel:
I WARN TO YOU! DON´T PLAY STUPID WITH ME! ANACON MELHACKER WILL SURVIVE!, Anacon, Melhacker, Dincracker, PakBrain and AQTE
Anacon G0t ya! By Melhacker – The Real Hacker!
– letölt egy állományt egy előre meghatározott URL-ről
– megszerzi a rendszerinformációkat és továbbítja e-mailen a chatza@phreaker.net címre
– a következő portok egyikén hallgatózik, alkotójától érkező parancsokra várva: 5567, 45567, 36794, 7676, 2383
– ezen parancsok a következők lehetnek:
. file-ok futtatása, listázása, törlése
. processek listázása, leállítása
. képernyő-beállítások megváltoztatása
. kulcsok küldése
. AVI és/vagy WAV állományok lejátszása
. számítógép újraindítása
. RAS kapcsolat bontása
. üzenet kijelzése stb.
– amennyiben a rendszerdátum bármelyik hónap következő napja, a féreg további műveleteket hajthat végre: 1, 4, 8, 12, 16, 20, 24, 28
– létrehozza a következő Registry kulcsokat és a legutolsó bejegyzést, melynek révén megosztja a C meghajtó gyökerét:
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Shares/Security
. HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/lanmanserver/Shares/Security
. HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/lanmanserver/Shares/Security
. HACKERz=43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,43,00,3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,00,00,54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
– az összes, fent említett Registry kulcsot a COSN.REG nevű ideiglenes állomány révén állítja elő, mégpedig a következő paranccsal: regedit /s COSN.REG; ennek a műveletnek a végrehajtása után ez az állomány megsemmisítődik
– DoS támadást indít a következő IP-címek ellen:
. 212.150.63.115
. 212.143.236.4
. 62.154.244.36
. 209.61.182.140
. 198.65.148.153
. 208.40.175.222
. 161.58.232.244
. 161.58.197.155
. 194.90.114.5
. 147.237.72.91
– létrehozza önmaga másolatait a rendszerre esetlegesen telepített peer to peer file-cserélők megosztott könyvtáraiba; a lista:
/KMD/My Shared Folder/
/Kazaa/My Shared Folder/
/limewire/Shared/
/KaZaA Lite/My Shared Folder/
/Morpheus/My Shared Folder/
/Grokster/My Grokster/
/BearShare/Shared/
/Edonkey2000/Incoming/
– ehhez az alábbi, figyelemfelkeltő neveket használja:
. The Matrix Evolution.mpg.exe
. The Matrix Reloaded Preview.jpg.exe
. Jonny English (JE).avi.exe
. DOOM III Demo.exe
. winamp3.exe
. JugdeDread.exe
. Microsoft Visual Studio.exe
. gangXcop.exe
. Upgrade you HandPhone.exe
. About SARS Solution.doc.exe
. Dont eat pork. SARS in there.jpg.exe
. VISE.exe
. MSVisual C++.exe
. QuickInstaller.exe
. Q111023.exe
. jdbgmgr.exe
. WindowsXP PowerToys.exe
. InternationalDictionary.exe
. EAGames.exe
. SEX_HOTorCOOL.exe
– letörli az összes állományt a gyökérkönyvtárból
– leformattálja a D meghajtót