Jelszóval védett féregvírus

A fertőzött e-mail tulajdonságai

Feladó: természetesen meghamisított:
– management@[címzett domainje]
– administration@[címzett domainje]
– staff@[címzett domainje]
– noreply@[címzett domainje]
– support@[címzett domainje]

Tárgy: egy sok elemből álló, előre elkészített listából válogat; néhány példa:
– E-mail account disabling warning.
– E-mail account security warning.
– Email account utilization warning.
– Important notify about your e-mail account.
– Notify about using the e-mail account.
– Notify about your e-mail account utilization.

Tartalom: az alábbiak valamelyikével kezdődik (ezt követően még több sorból áll az e-mail):
– Dear user of [domain],
– Dear user of [domain] gateway e-mail server,
– Dear user of e-mail server ˝[domain]˝,
– Hello user of [domain] e-mail server,
– Dear user of ˝[domain]˝ mailing system,
– Dear user, the management of [domain] mailing system wants to let you know that,

Csatolmány: [az alábbiak közül egy].zip
– Attach
– Details
– Document
– Encrypted
– Gift
– Info
– Information
– Message
– MoreInfo
– Readme
– Text
– TextDocument
– details
– first_part
– pub_document
– text_document
A fenti állomány egyébként egy véletlenszerűen elnevezett, jelszóvédett EXE file-t tartalmaz.

A féreg paraméterei

Felfedezésének ideje: 2004. március 13.
Utolsó frissítés ideje: 2004. március 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 21-22 Kbyte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: közepes
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza az alábbi állományokat a System könyvtárban:
. winupd.exe – a féreg másolata
. winupd.exeopen – a féreg másolata
. winupd.exeopenopen – a féreg másolata; vagy egy jelszóvédett ZIP állomány, vagy pedig egy szintén védett RAR file
. winupd.exeopenopenopen – egy olyan .bmp file, ami a ZIP/RAR állomány kicsomagolásához szükséges jelszót tartalmazza
– hozzáadja a winupd.exe=[System elérési útvonala]/winupd.exe bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérli a rendszerre telepített behatolásvédelmi szoftverek futó process-einek leállítását
– letörli a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run kulcsokból a következő bejegyzéseket:
. 9XHtProtect
. Antivirus
. HtProtect
. ICQ Net
. ICQNet
. My AV
. Special Firewall Service
. Tiny AV
. Zone Labs Client Ex
. service
– megnyitja a 2556-ös TCP portot, amin keresztül jogosulatlan hozzáférést kínál a fertőzött számítógéphez; amennyiben a támadó file-t küld a rendszernek, az a Windows könyvtárba kerül (iuplda[néhány karakter].exe néven), innen aztán akár futtatni is lehet
– file-megosztó programok révén is képes szaporodni: ehhez a ˝shar˝ sztringet tartalmazó könyvtárakba másolja be magát; ehhez az alábbi nevek egyikét használja:
. ACDSee 9.exe
. Adobe Photoshop 9 full.exe
. Ahead Nero 7.exe
. Matrix 3 Revolution English Subtitles.exe
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Office XP working Crack, Keygen.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Opera 8 New!.exe
. Porno Screensaver.scr
. Porno pics arhive, xxx.exe
. Porno, sex, oral, anal cool, awesome!!.exe
. Serials.txt.exe
. WinAmp 5 Pro Keygen Crack Update.exe
. WinAmp 6 New!.exe
. Windown Longhorn Beta Leak.exe
. Windows Sourcecode update.doc.exe
. XXX hardcore images.exe
– a fertőzött számítógépben levő merevlemezek összes partícióján levő EXE file-okat megfertőzi
– a helyi meghajtókat feltérképezi e-mailcímek után kutatva; ehhez a következő kiterjesztéssel bíró állományokat keresi meg: adb, asp, cfg, cgi, dbx, dhtm, eml, htm, jsp, mbx, mdx, mht, mmf, msg, nch, ods, oft, php, pl, sht, shtm, stm, tbb, txt, uin, wab, wsh, xls, xml
– saját SMTP motorjának használatával az így megszerzett címekre továbbítja magát; ez alól csak az alábbi sztringek valamelyikével bíró címek képeznek kivételt: @avp., @foo, @hotmail.com, @iana, @messagelab, @microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, f-secur, feste, free-av, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, winrar, winzip