Vírusfertőzés állhat a rejtélyes rendszerújraindulások hátterében

A fertőzött e-mail tulajdonságai

Tárgy: [FREE E-Mail FOR YOU]
Tartalom: USERNAME AND PASSWORD ARE IN ATTACHMENT FOR SAFETY, YOU JUST FIRST GET THE U COMPRESS PSD:www.crack5t.net.br
Csatolmány: crackcode.rar.vbs vagy FreeMail.RAR.vbs

A féreg paraméterei

Felfedezésének ideje: 2004. október 26.
Utolsó frissítés ideje: 2004. október 27.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a System mappába, többnyire 33.exe néven
– megkísérli létrehozni a Windows könyvtárában a következő állományokat:
. vtemp.dll
. vtemp.vbs
. winsnav.vbs
. win32sp.vbs
– a System könyvtárban létrehozza az ntdll.dll.vbs file-t az ugyanitt található ntdll.dll lemásolásával
– létrehozza az aktuális könyvtárban a Win32i.bat állományt
– a HKEY_USERS/.DEFAULT/Software/Microsoft/Internet Explorer/Main Registry kulcshoz hozzáadja a Start Page = [egy website a startnow.com domainben] bejegyzést, ezzel módosítva az Internet Explorer kezdőlapját
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz a következő bejegyzéseket:
. winXP = [System elérési útvonala]/33.exe/background
. windef = Win32sp.vbs -quiet
. NAV Agent = [Windows elérési útvonala]/winsnav.vbs
– hozzáadja a chkdsk = c:/autoexec.bat bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce kulcshoz
– rögzíti a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Winlogon kulcsban a következő bejegyzéseket:
. LegalNoticeCaption = windows????
. LegalNoticeText = windows??????,????0x6c5fb2???read,????????????????[035]
– az Internet Explorer beállításainak módosítása végett a HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions kulcsban a következő változtatásokat végzi:
. NoBrowserContextMenu = 1
. NoBrowserOptions = 1
. NoBrowserSaveAs = 1
. NoFileOpen = 1
. NoViewSource = 1
– ugyanezen tett hajtja, amikor a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer kulcsban az alábbi változtatásokat végzi el:
. NoRun = 1
. NoClose = 1
. NoViewContextMenu = 1
. NoFileMenu = 1
– a Norton Antivirus rendszerindításkor való automatikus betöltődését megakadályozandó, a HKEY_LOCAL_MACHINE/Software/Symantec/Norton Antivirus/FirstRun kulcs alapértelmezett értékét nullára állítja
– allen néven létrehoz egy felhasználót, majd hozzáadja az Administrators csoporthoz
– megkísérli a következő parancsokat rögzíteni a C gyökerében található autoexec.bat állományban:
@echo off
@CHKDSK
@shutdown -s -t 300
– a fertőzött számítógépen összegyűjtött e-mailcímekre továbbítja magát a fent ismertetett karakterisztikában