Hamis feladóval érkező féregvírus

A fertőzött e-mail tulajdonságai

Feladó: az alábbiak egyike (természetesen spoofolt):
– Microsoft [support@microsoft.com]
– Terrorist George W. Bush [president@whitehouse.gov]
– Terrorist Ariel Sharon [pm_eng@pmo.gov.il]
– careless [ch@care.net]
– media [washtimes.com]
– Rumsfeld [rumsfeld@pentagon.net]
– Maybank [security@maybank2u.com]
– condemn [fool@first.gov]
– BinLaden [osama@fbi.gov]
– BushScare [president@white.gov]

Tárgy: véletlenszerűen válogat egy előre elkészített adatbázisból, néhány példa:
– nice job!
– oh wow
– Too easy
– Spend Money
– Update
– Your resume
– you are!
– great!
– Re:
– plz!
– Need help!
– Buy 1 Free 2

Tartalom: a következők egyike:
A message you have received has been converte to an attachment. I sorry cause that problem. [webmaster@winzip.com]

Hello friend,
I have a problem here. I have encrypt the file that contain my message problem. The password is ´helpx´. Plz reply back!

Oh my god! It´s that you! Helo! Helo! So, this is gift for christmas day!
Orlian Jieg

For the truth of love! I have suprise to you! Please baby forgive me!
Ronn Elika

Hey! It´s that what you want! I hope so! Check the file first then reply back if you have problem!
By
Alex Pravoks

Csatolmány: véletlenszerűen válogat egy előre elkészített adatbázisból (mind .exe, .com, .pif vagy .bat kiterjesztéssel bír), néhány példa:
– problem
– help
– multi
– computers
– magazine
– image
– pictures
– fees
– request
– brand
– collection

A féreg paraméterei

Felfedezésének ideje: 2003. december 21.
Utolsó frissítés ideje: 2003. december 23.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 19.526 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba Djfgucxr.exe, és a C meghajtó gyökerébe [véletlenszerűen választott, ismétlődő karakterek].exe néven
– módosítja a System.ini file-t a következő sor [boot] részéhez való hozzáadásával: shell=Explorer.exe Djfgucxr.exe
– módosítja a Shell értékét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcsban
– átnézi a C meghajtót e-mailcímek után kutatva; ehhez a következő kiterjesztéssel bíró állományokban vizsgálódik: .asp, .eml, .htm, .html, .jse, .mht, .txt, .dbx, .mbx, .mmf, .tbb, .nch, .ods, .vcf, .wab
– elküldi magát minden e-mailcímre, melyet megtalált
– felmásolja magát minden olyan, a helyi hálózaton található megosztásba, amely nem jelszóval védett; ehhez a következő kiterjesztéseket használhatja: .pif, .exe, .com, .bat
– az 5373-as porton hallgatózik és jogosulatlan hozzáférést kínál a megfertőzött számítógéphez
– leállítja a következő futó process-eket, amennyiben azok neve az alábbi stringek bármelyikét is tartalmazza:
. anti
. Anti
. hack
. McAfee
. monitor
. Norton
. Registry
. scan
. spy
. task
. tool
. view
. Vir
. viru
– egyéb behatolásvédelmi szoftverek futó process-einek kiiktatására is képes