E-mailen és hálózati megosztásokon szaporodik a Gaggle.E féregvírus

A fertőzött e-mail jellemzői

Feladó: természetesen egy hamis cím
Tárgy, tartalom: különböző, spanyol nyelvű üzenetek, a fertőzött e-mail tartalma rendszerint egy ál-vírusellenőrzési üzenettel kezdődik
Csatolmány: Filezip.zip

A féreg paraméterei

Felfedezésének ideje: 2004. július 8.
Utolsó frissítés ideje: 2004. július 9.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 260 kbyte, 30.721 byte, 17.409 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System mappában, névként a következőkből válogat:
. File.vbs
. Gedzac.vbs
. Israfel.vbs
. pubprn.vbs
. Kernel32.win
. Mouse_configurator.win
. Winmgd.win
. Backup.vbs
. Template.htm
. Filezip.zip
– létrehozza a 354 byte-nyi Estigma.hta állományt a C gyökerében (ez teljesen ártalmatlan), illetve a követkető file-okat a System könyvtárban:
. Regsrv.exe (17.409 byte) – ez a Trojan.KillAV kártevő
. Sendi.exe (30.721 byte) – a féreg egyik komponense
. Pkzip.exe – a valós tömörítőprogram, nem veszélyes
. AvrilLavigne.jpg (12.549 byte)
. iwn.dat
. iw.dat.
. ixn.dat
. ix.dat
– a féreg megkísérli megfertőzni a Word és az Excel file-okat a .dat állományok révén
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz az alábbi értékeket:
. Kernel32=[System elérési útvonala]/Kernel32.win
. Israfel=[System elérési útvonala]/Israfel.vbs
– módosítja a HKEY_CLASSES_ROOT/regfile/shell/open/command és a HKEY_CLASSES_ROOT/keyfile/shell/open/command Registry kulcs default értékét GEDZAC-ra
– a Timeout értékét nullára állítja a HKEY_CURRENT_USER/Software/Microsoft/Windows Scripting Host/Settings és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows Scripting Host/Settings kulcsokban
– letiltja a Registry editor használatát a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System, a HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Policies/System és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/System kulcsok DisableRegistryTools bejegyzéseinek egyesre való átállításával
– felmásolja az alapértelmezett command shellt (command.com vagy cmd.exe) az összes merevlemez /inetpub/scripts könyvtárába, israfel.exe néven
– létrehozza az iisroot.asp file-t az /inetpub/wwwroot mappáiban és alkönyvtáraiban; ez az állomány önmaga nem fertőző
– módosítja a System.ini [boot] részlegét:
shell=Explorer.exe [System elérési útvonala]/winmgd.win
– módosítja a Win.ini [windows] részét:
run=[System elérési útvonala]/mouse_configurator.win
– amennyiben a rendszerdátum az adott hónap harmadikára esik, megjeleníti a gyökérbe felmásolt Estigma.hta állományt, mely csak szöveget tartalmaz
– ha a rendszerdátum 19-e, akkor a következő üzenetet jeleníti meg: 19/12/2003 – Saludos a Cienciano Campeon 2003 de la Copa Sudamericana
– amennyiben a rendszerdátum éppen 11-ére esik, abban az esetben pedig a következő szöveg jelenik meg:
Luego del alevoso ataque de eeuu y sus aliados
contra Iraq, aun tiene bush el descaro de decir
que lo hizo por libertar al pueblo o por la
democracia, como si eso le interesara, solo le
interesa tener gobiernos titeres y el petroleo
(investiguen sobre su dizque reconstruccion
de Iraq), desde los 90 que se pretendia derrocar
al gobierno de Iraq, quien le dio el derecho de decidir que
gobiernos deben ser derrocados o no, acaso
se cree el policia del mundo, una de las frases
favoritas del Asesino de bush, es el ´origen
del mal´ el es eso.
Y para terminar otra de sus frases ´que Dios bendiga a los eeuu´ ojala lo haga
porque lo van a nesecitar, porque algun
dia eeuu pagara por querer decirle al
mundo como tiene que vivir
(Mensage en contra del Gobierno de eeuu, no del pueblo)
– minden hónap 29-én megnyitja a www.arvil-lavigne.com weboldalt, mely nevével ellentétben nem az amerikai énekes webhelye, hanem egy keresőoldal
– előkeríti a SoulSeek megosztott mappájának elérhetőségét a Registry átnézésével
– a rendszerre telepített file-megosztó alkalmazások megosztott könyvtáraiba bemásolja a Filezip.zip állományt különböző, figyelemfelkeltő neveken
– létrehozza a következő állományokat a Temp mappában: imh.dat, iml.dat, imv.dat; ezek az állományok nem fertőzőek, arra szolgálnak, hogy az Outlookból és különböző állományokból begyűjtött e-mailcímeket eltárolják
– felülírja a következő kiterjesztéssel bíró állományokat önmagával: .vbs, .vbe, .js, .jse, .hta, .htm, .html, .php, .shtm, .shtml, .phtm, .phtml, .mht, .mhtml, .plg és .htx
– véletlenszerűen IP-címeket generál, és megkísérel ezekhez csatlakozni gyenge felhasználói nevek és jelszavak kombinációit próbálgatva
– ha sikerül bejelentkeznie a számítógépbe, akkor felmásolja oda magát autorun.vbs néven, majd felülírja az autoexec.bat állományt a @win autoexec.vbs sorral, illetve hozzáadja a run=autorun.vbs sort a Win.ini [windows] részéhez
– felülírja az összes .vbs állományt az A meghajtóban levő lemezen önmagával; ha nem talál ilyet, felmásolja oda magát a következő nevek valamelyikén: Israfel.vbs, Document.txt.vbs, Image.jpg.vbs, Loreley.jpg.vbs, Vigilancia.txt.vbs
– saját e-mailező összetevőjét, a sendi.exe-t használja fel annak érdekében, hogy e-mailen keresztül szétküldje magát; ehhez a megfertőzött számítógépen eltárolt SMTP-szervert, vagy a következő kettő valamelyikét alkalmazza:
. mx1.latinmail.com
. mx1.hotmail.com
– küld egy e-mailt alkotójának, melyben a rendszerből megszerzett adatokat továbbítja
– létrehozza az alábbi Registry kulcsokat:
. HKEY_LOCAL_MACHINE/Software/GEDZAC LABS/Israfel/Parent
. HKEY_LOCAL_MACHINE/Software/GEDZAC LABS/VBS.Israfel/Info