Újra támad a magyar féregvírus

A féreg paraméterei

Felfedezésének ideje: 2004. október 27.
Utolsó frissítés ideje: 2004. október 28.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 15.993 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza az UpdateZ3 nevű mutexet
– bemásolja magát a System könyvtárba svchost.com és svchost.con nevekkel
– ugyanitt létrehoz több állományt is a következő névsémával: svchost.co[véletlenszerűen alkotott szám]
– hozzáadja az _svchost.con=[System elérési útvonala]/svchost.com bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz
– létrehozza a HKEY_LOCAL_MACHINE/Software/Microsoft/UpdateZ3 Registry kulcsot, hogy önmagáról szóló információkat tárolhasson el
– a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile kulcs alábbi értékeit módosítja, ezzel tiltva le a védelmi szoftvereket:
. DisableNotifications = 1
. EnableFirewall = 0
. DoNotAllowExceptions = 0
– hasonló célból végez a HKEY_LOCAL_MACHINE/Software/Microsoft/Security Center kulcsban módosításokat;
. AntiVirusDisableNotify = 1
. FirewallDisableNotify = 1
. UpdatesDisableNotify = 1
. AntiVirusOverride = 1
. FirewallOverride = 1
– létrehoz egy logfile-t a C meghajtó gyökerében, tm.txt néven
– megakadályozza azon alkalmazások futtatását, melyek a következő sztringek valamelyikét tartalmazzák nevükben:
. reged
. msconfig
. task
– átnézi a számítógépet ismert antivírus és behatolásvédelmi szoftverek után kutatva, ha talál ilyet, annak file-jait felülírja magával; ha ilyen alkalmazásra utaló könyvtárat talál, annak minden EXE állományát felülírja önmagával, még az alkönyvtárakban is
– olyan mappák után kutat, melyek file-megosztó alkalmazások megosztott könyvtárai lehetnek; ha talál, felmásolja magát a következő neveken: Install_AIM.exe, uninstall.exe, doom3 keygen.exe
– e-mailcímek után kutat a fertőzött számítógépen, a Windows Address Bookjának a következő kiterjesztéssel rendelkező állományoknak az átvizsgálásával: .htm, .wab, .txt, .dbx, .tbb, .asp, .php, .sht, .adb, .mbx, .eml, .pmr
– saját SMTP-motorja révén továbbítja magát a begyűjtött e-mailcímekre (kevés kivétellel); az elektronikus levél csatolmánya kettős kiterjesztésű
– HTTP GET kérelmekkel igyekszik elárasztani a következő oldalakat (azaz DoS-támadást intéz ellenük):
. www.google.com
. www.microsoft.com
. www.miniszterelnok.hu