Gyorsan szaporodó, Microsoft javításnak álcázott féregvírus

A féreg paraméterei

Felfedezésének ideje: 2003. szeptember 18.
Utolsó frissítés ideje: 2003. szeptember 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/Server 2003
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 106.496 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: magas
Károkozás mértéke: kicsi
Eltávolítása: nehéz

Aktiválódása esetén lezajló események

– ha a lefuttatott állomány neve Q, U, P vagy I betűvel kezdődik, a féreg önmagát egy Microsoft Internet Update Packnek álcázza
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– bemásolja magát a Windows könyvtárba egy véletlenszerűen választott file-néven
– létrehozza a Germs0.dbv állományt a Windows könyvtárban, amelyben azon e-mailcímeket tárolja, amiket felkutatott
– ugyanitt hozza létre a Swen1.dat file-t, ami távoli hír- és mail szerverek listáját tartalmazza
– létrehozza a [számítógép neve].bat állományt, ami lefuttatja a férget, illetve eltárolja egy véletlenszerűen elnevezett állományban a számítógép adatait
– az alábbi értékeket adja hozzá a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explorer/[véletlenszerűen összeválogatott betűk] Registry kulcshoz:
. CacheBox Outfit=yes
. ZipName=[véletlenszám]
. Email Address=[a felhasználó Registry-ből megszerzett e-mailcíme]
. Server=[a felhasználó által használt, a Registry-ből megszerzett SMTP-szervere]
. Mirc Install Folder=[Micr helye a rendszerben]
. Installed=…by Begbie
. Install Item=[véletlenszám]
. Unfile=[véletlenszám]
– hozzáad egy véletlenszerűen generált nevű értéket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz, így a féreg minden rendszerinduláskor betöltődik
– módosítja a következő Registry kulcsokat:
. HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command
. HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command
. HKEY_LOCAL_MACHINE/Software/CLASSES/scrfile/shell/open/command
. HKEY_LOCAL_MACHINE/Software/CLASSES/comfile/shell/open/command
. HKEY_LOCAL_MACHINE/Software/CLASSES/batfile/shell/open/command
. HKEY_LOCAL_MACHINE/Software/CLASSES/piffile/shell/open/command
– felviszi a DisableRegistryTools = 1 bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System Registry kulcsba; így akadályozván meg a rendszerleíró adatbázis szerkeszthetőségét
– egy ál MAPI32 hibát jelenít meg bizonyos időközönként a felhasználónak, aminek révén meg tudja szerezni a következő információkat: felhasználónév, jelszó, POP3-szerver, SMTP-szerver
– amennyiben a felhasználó futtat egy EXE állományt, annak futását megszakítja és a következő álhibaüzenetet jeleníti meg: Exception error occured:
Memory access violation in module kernel32 at [tetszőleges memóriacím]
– egy előre meghatározott HTTP-szerverre küld egy HTTP Get kérelmet annak érdekében, hogy számolni tudja, mennyi PC-t fertőzött már meg; ezt az információt egyébként meg is jelenítheti
– a féreg e-mail, Kazaa, IRC, hálózati megosztások és hírcsoportok révén egyaránt képes terjedni