Internetes kereső révén terjedő féregvírus

A fertőzőtt e-mail jellemzői

Tárgy: a következők valamelyike:
– SN: New secure mail
– Secure delivery
– failed transaction
– Re: hello (Secure-Mail)
– Re: Extended Mail
– Delivery Status (Secure)
– Re: Server Reply
– SN: Server Status

Tartalom: az alábbiak közül egy:
– Automatically Secure Delivery: for [címzett]
– Mail Delivery Server System: for [címzett]
– Extended secure mail message available at: [címzett]
– Secure Mail Server Notification: for [címzett]
– New mail secure method implement: for [címzett]
– New policy requested by mail server to returned mail
as a secure compiled attachment (Zip).
– Now a new message is available as secure Zip file format.
– Due to new policies on clients.
– This message is available as a secure Zip file format
due to a new security policy.
– For security measures this message has been packed as Zip format.
– This is a newly added security feature.
– New policy recommends to enclose all messages as Zip format.
– Your message is available in this server notice.
– You have received a message that implements secure delivery technology.
– Message available as a secure Zip file.
– This message is an automatically server notice
from Administration at
– Server Notice: New security feature added. MSG:ID: 455sec86
from
– New feature added for security reasons
from
– Automatically server notice:,
– Server reply from
– New service policy for security added from

Csatolmány: egy, a következő kiterjesztések valamelyikével rendelkező állomány:
. .exe
. -txt.exe
. -htm.exe
. -txt.scr

A féreg paraméterei

Felfedezésének ideje: 2004. augusztus 3.
Utolsó frissítés ideje: 2004. augusztus 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 21.504 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozhatja a Northernlightmixed nevű mutexet
– első futásakor elindíthatja a Notepad.exe-t
– felmásolja magát a System és a Temp mappába winlibs.exe néven
– létrehozza a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/winlibs vagy a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/winlibsRegistry kulcsot
– hozzáadja a winlibs.exe=[System elérési útvonala]/winlibs.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run vagy a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– véletlenszerű kéréseket intéz az email.people.yahoo.com:80 számára, majd összegyűjti a keresés eredményeként elérhetővé vált e-mail címeket
– e-mailcímek után kutat számos állományban
– meghamisított feladóval a fenti módszerrel begyűjtött címre továbbítja magát a korábban ismertetett karakterisztikában, kivéve néhány speciális sztringet tartalmazó e-mailt, néhány példa:
. .edu
. Bug
. ugs
. bug
. upport
. ICROSOFT
. icrosoft
. oot
. dmin
. ymant
. avp
. ecur
. @MM
. ebmast