File-csere ellenes féreg

A fertőzött e-mail tulajdonságai

Feladó: az alábbiak egyike:
– Server@[címzett domainje]
– administration@[címzett domainje]
– management@[címzett domainje]
– service@[címzett domainje]
– userhelp@[címzett domainje]

Tárgy: a következők közül egy:
– Email Account Information
– User Information
– Detailed Information
– URGENT PLEASE READ!
– User Info
– Server Error
– Urgent Update!

Tartalom: az alábbi, előre elkészített szövegek közül választ ki egyet:
– Our server is experiencing some latency in our email service.
The attachment contains details on how your account will be affected.
– Due to recent internet attacks, your Email account security is being upgraded.
The attachment contains more details
– Our Email system has received reports of your account flooding email servers.
– There is more information on this matter in the attachment
We regret to inform you that your account has been hijacked and used for illegal purposes.
– The attachment has more information about what has happened.
– Your Email account information has been removed from the system due to inactivity.
To renew your account information refer to the attachment
– There is urgent information in the attachment regarding your Email account

Csatolmány: .cmd, .pif vagy .scr kiterjesztéssel bíró állomány, melynek neve a következők egyike lesz:
– Account_Information
– Word_Document
– Gift
– Information
– Details
– Update

A féreg paraméterei

Felfedezésének ideje: 2004. október 25.
Utolsó frissítés ideje: 2004. október 26.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 85.628 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– a System könyvtárban létrehozza önmaga másolatait bloodred.exe és Windows_kernel32.exe néven
– rögzíti a ~~~Bloodred~~~owns~~~you~~~xoxo~~~2004 mutexet, így csak egyszer töltődik be a memóriába
– létrehozza a Windows mappában a bloodred.zip file-t, mely voltaképp a féreg becsomagolt változata (Urgent_Info.pif néven)
– létrehozza a System könyvtárban a base64exe.sys és a base64zip.sys állományokat, illetve a frun.txt file-t
– hozzáadja a Microsoft Kernel=[System elérési útvonala]/Windows_kernel32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– felülírja a System/DRIVERS/ETC/hosts állományt a következővel, ezáltal elérhetetlenné téve a lenti oldalakat:
. 127.0.0.1 www.norton.com
. 127.0.0.1 norton.com
. 127.0.0.1 yahoo.com
. 127.0.0.1 www.yahoo.com
. 127.0.0.1 microsoft.com
. 127.0.0.1 www.microsoft.com
. 127.0.0.1 windowsupdate.com
. 127.0.0.1 www.windowsupdate.com
. 127.0.0.1 www.mcafee.com
. 127.0.0.1 mcafee.com
. 127.0.0.1 www.nai.com
. 127.0.0.1 nai.com
. 127.0.0.1 www.ca.com
. 127.0.0.1 ca.com
. 127.0.0.1 liveupdate.symantec.com
. 127.0.0.1 www.sophos.com
. 127.0.0.1 www.google.com
. 127.0.0.1 google.com
– létrehoz számos más mutexet is, mellyel egyrészt saját maga korábbi változatainak, másrészt rivális férgek betöltődését akadályozza meg
– megjelenítheti a ˝Windows encountered an error reading the file˝ szövegű álhibaüzenetet
– képes leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– a 2345-ös TCP porton hallgatózik, a távoli támadótól érkező parancsokra várva
– ha a támadó egy futtatható állományt küld a fertőzött számítógépnek, a féreg elmenti azt a System mappába, .exe kiterjesztéssel és véletlenszerűen összeválogatott karakterekből álló névvel
– DoS-támadást kezdeményez a www.kazaa.com website ellen, ha a rendszerdátum 2004. november 15-e vagy annál későbbi időpont
– minden olyan mappába felmásolja magát (C-Z meghajtó), mely nevében tartalmazza a shar sztringet, különböző, figyelemfelkeltő neveken
– lezárja a Windows Task Manager alkalmazást, ha az nyitva volt
– e-mailcímek után kutat a következő kiterjesztéssel bíró állományokban: .adb, .asp, .dbx, .doc, .htm, .html, .jsp, .rtf, .txt, .xml
– saját SMTP-motorja révén a fent ismertetett karakterisztikában továbbítja magát a megszerzett címekre
– kivételt tesz azokkal az e-mailcímekkel, melyek a következő sztringek egyikét tartalmazzák:
. @hotmail
. @fsecure
. @virusli
. @noreply
. @norton
. @norman
. @mm
. @sopho
. @msn
. @microsoft
. @avp
. @panda
. @symantec