Vírusfigyelmeztetésnek álcázott féreg terjed

A fertőzött e-mail jellemzői

Tárgy: több elemből választ egyet, néhány példa:
. Alert
. Fw: Virus Alert
. FW: (-Sucking-)
. FW: File – WebCam.mpeg
. FW: **Hot Movie**
. Re: Why? Form Back.mpg
. FW:RE: Least *21* Years
. Re: Double suck (movie)
. FW:Re:Hot Erotic
. very hot XXX
. Video Clip
. RE: FW: Women Mpeg
. Asses Mpeg´s
. FW: Lesbian & gays Mpeg
. Fw: My Funny Ass

Tartalom: Szintén egy több elemből álló listából választ, az egyik legjellemzőbben Norton Antivirus figyelmezető üzenetként próbálja meg ˝eladni˝ magát.

Csatolmány: Egy .zip, .exe, .tgz, .com vagy .scr kiterjesztésű, figyelemfelkeltő névvel bíró állomány.

A féreg paraméterei

Felfedezésének ideje: 2004. március 23.
Utolsó frissítés ideje: 2004. március 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 75 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a Windows könyvtárban a TEMPORARY mappát, s ennek rejtett attributumot állít be
– bemásolja magát a fenti helyre [random_file_name2].exe, illetve a System könyvtárba [random_file_name1].exe néven
– létrehozza a Media.Temp.Mpeg állományt a Temp könyvtárban, majd meg is nyitja a Windows Media Playerével
– létrehozza és regisztrálja a következő, e-mialező rutint megvalósító két állományt: OSSMTP.dll, oswinsck.dll
– hozzáadja az alábbi értékeket a lenti Registry kulcsokhoz:
• [random_file_name1].exe=[System elérési útvonala]/[random_file_name1].exe
• (default)=[Windows elérési útvonala]/TEMPORARY/[random_file_name2].exe
• HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
• HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– létrehozza a következő kulcsokat a rendszerleíró adatbázisban:
• HKEY_LOCAL_MACHINE/SOFTWARE/Classes/OSSMTP.Attachment
• HKEY_LOCAL_MACHINE/SOFTWARE/Classes/OSSMTP.CustomHeader
• HKEY_LOCAL_MACHINE/SOFTWARE/Classes/OSSMTP.SMTPSession
• HKEY_LOCAL_MACHINE/SOFTWARE/Classes/oswinsck.TCP
– több Registry kulcsból is kitörli az alábbi értékeket:
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• Taskmon
• KasperskyAv
• system.
• msgsvr32
• Windows Services Host
• Explorer
• Sentry
• ssate.exe
• winupd.exe
• au.exe
– megkísérli letörölni az összes állományt a következő könyvtárakból (már ha azok léteznek):
• Program Files/Norton AntiVirus/
• Program Files/McAfee/McAfee VirusScan/Vso/
• Program Files/Trend Micro/PC-cillin 2002/
• Program Files/Trend Micro/PC-cillin 2003/
• Program Files/Trend Micro/Internet Security/
• Program Files/Symantec/LiveUpdate/