Antivírus cégtől érkezőnek tűnik a legújabb Netsky féreg

A fertőzött e-mail jellemzői

Feladó: a következő, természetesen hamis e-mailcímek közül egy:
– support@symantec.com
– support@nai.com
– support@norman.com
– support@sophos.com

Tartalom:
Dear user of [e-mail szerver],

We have received several abuses:

– Hundreds of infected e-Mails have been sent
from your mail account by the new worm
– Spam email has been relayed by the backdoor
that the virus has created

The malicious file uses your mail account to distribute
itself. The backdoor that the worm opens allows remote attackers
to gain the control of your computer. This new worm
is spreading rapidly around the world now
and it is a serios new threat that hits users.

Due to this, we are providing you to remove the
infection on your computer and to
stop the spreading of the malware with a
.special desinfection tool attached to this mail.

If you have problems with the virus removal file,
please contact our support team at [feladó címe].
Note that we do not accept html email messages.

A féreg paraméterei

Felfedezésének ideje: 2004. május 3.
Utolsó frissítés ideje: 2004. május 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 18.432 byte és 36.864 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– bemásolja CPL komponensét a Windows könyvtárba comp.cpl néven
– ugyanide beilleszti féreg modulját (wserver.exe), amit le is futtat
– létrehozza a memóriában a SkyNet-Sasser mutexet, amivel gyakorlatilag bebizonyítja, hogy a két féreg alkotói ugyanazok a személyek
– hozzáadja a wserver=[Windows elérési útvonala]/wserver bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcs ssgrate.exe, drvsys.exe, Drvddll_exe értékeit
– felméri a rendszerben található merevlemez(ek)en azokat az állományokat, melyekben e-mailcímekre bukkanhat; ezután ki is gyűjti ezeket az eléréseket
– saját SMTP-motorja révén továbbítja magát a fent említett módon összegyűjtött címekre, kivéve azokat, amelyek antivírus cégekhez köthetők
– önmaga elküldésére az alapértelmezett DNS szervert használja fel, hogy megszerezze az e-mailszerver IP-címét; amennyiben ez nem sikerülne, a benne előre eltárolt címek valamelyikét próbálja ki