Rendszerünk adatait eltulajdonító féregvírus

A fertőzött e-mail tulajdonságai

Feladó: [véletlenszerű karakterek]@[a fertőzött számítógépen talált e-mailcímek domainjének egyike]
Tárgy: ismeretlen
Tartalom: If you cant see message text from: [néhány véletlenszerűen választott karakter], read attached file
Csatolmány: document.zip

A féreg paraméterei

Felfedezésének ideje: 2004. február 10.
Utolsó frissítés ideje: 2004. február 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 40.960 byte, 28.020 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja a C meghajtó gyökerébe az nload.exe állományt, ez tartalmazza a kártevő e-mailező rutinját
– létrehozza a Windows könyvtárban levő Temp mappában a photo.jpg állományt, amit egyből meg is jelenít; a fotó egy szőke nőt ábrázol
– felmásolhatja magát a System könyvtárba 1111a.exe, 1111c.exe illetve a Startup könyvtárba 1111b.exe néven
– hozzáadja a load32=[System elérési útvonala]/1111a.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosíthatja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcs Shell bejegyzésének értékét explorer.exe-ről ˝explorer.exe [System elérési útvonala]/1111c.exe-re
– módosítja a system.ini állomány [boot] részét (csak Windows 9x/Me alatt): shell=explorer.exe [System elérési útvonala]/1111c.exe
– letölt egy előre meghatározott webcímről egy EXE file-t, ami tulajdonképpen egy trójai program; a leütött billentyűk figyelésére és rendszerinformációk ellopására képes
– amennyiben a fent említett letöltés sikerrel járt, létrehozza a HKEY_LOCAL_MACHINE/SOFTWARE/SARS Registry kulcsot
– az alábbi kiterjesztéssel bíró állományokból megszerzi a bennük tárolt e-mailcímeket: .htm, .wab, .html, .dbx, .tbb, .abd; ezeket az információkat a Windows könyvtárban levő 1111mail.log file-ban tárolja
– létrehozza a Temp könyvtárban a Zip.tmp file-t, mely magát a férget tartalmazza, majd saját SMTP-motorja révén továbbítja önmagát a fent említett módszerrel talált e-mailcímekre
– több végrehajtási szálat is létrehoz, melyekkel például jelszavak megszerzésére, vágólap adatok kimásolására vagy éppen bejövő kapcsolatok figyelésére (a 10000-es és a 2283-as TCP portokon) válik képessé
– két végrehajtási szál révén a támadó teljes mértékben át tudja venni a rendszer feletti ellenőrzést, s a számítógépet akár relay-ként is használhatja
– a féreg időnként ellenőrzi azt az állományt, melyben a megszerzett információk tárolódnak, s ha ennek mérete elér egy bizonyos szintet, az információt továbbítja egy előre meghatározott FTP-szerver számára; a következő karakterisztikában:
Feladó: [aktuális felhasználónév][cím@yandex.ru]
Címzett: You
Üzenet:
IP address: [a kiszolgáltatott számítógép IP-címe]
*** System information ***
Windows version: [az operációs rendszer verziója]
Internet Explorer version: [a böngésző verziója]
*** Far Manager passwords ***
[megszerzett jelszavak]
*** System information ends ***
*** Far Manager passwords ***
===KEYLOGGER DATA START===
[leütött billentyűk]
===KEYLOGGER DATA END===
===CLIPBOARD LOG===
[vágólapról kimásolt információk]
===CLIPBOARD LOG END===
*** Protected Storage Data ***
[további adatok]
*** Protected Storage Data ends ***