Pénzünkre (is) utazó féreg jelent meg

A fertőzött levél tulajdonságai

Feladó: [hamis e-mailcím]
Tárgy: 123
Tartalom:
Hello [véletlenszerűen létrehozott név]
—
Best regards,
[véletlenszerűen létrehozott név]
Csatolmány: PlayGirls2.exe

A féreg paraméterei

Felfedezésének ideje: 2004. december 7.
Utolsó frissítés ideje: 2004. december 8.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés meggátlása: nehéz
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehoz néhányat az alábbi állományokból a System könyvtárban:
. ___j.dll – a féreg azon része, amivel az svchost.exe-t fertőzi meg
. ___r.exe – a féreg fő futtatható állománya
. ___synmgr.exe – W32.IRCBot
. ___n.exe – W32.IRCBot
. ___e – a féreg MIME kódolású változata
. ___u – a féreg dropper része
– megfertőzi a ___j.dll file-lal az svchost.exe process-t
– letörli és újra létrehozza az alábbi állományokat, melyekben aztán a begyűjtött adatokat tárolja:
. [System elérési útvonala]/Alaftp
. [System elérési útvonala]/AlaMail
. [System elérési útvonala]/AlaScan
. [System elérési útvonala]/AlaDdos
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz a következő két bejegyzést:
. Microsoft Synchronization Manager=___synmgr.exe
. Microsoft Windows DHCP=___r.exe
– hozzáadja a Microsoft Synchronization Manager=___synmgr.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices kulcshoz
– elindítja a következő állományt: ___r.exe
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– rootkit technikák révén megakadályozza, hogy a három aláhúzással ( ___ ) kezdődő file-nevek láthatóak legyenek a fertőzött számítógépet használó számára; ennek eredményeként a Task Manager sem lesz képes elindulni
– olyan számítógépek után kutat, melyeken ki tudja használni a DCOM RPC sérülékenységet
– egy távoli IRC-szerverhez csatlakozik, alkotójától érkező parancsokra várva
– figyelemmel kíséri az Internet Explorer ablakokat, melyek a következő sztringek valamelyikét tartalmazzák:
. evocash
. e-bullion
. e-gold
. mail
. bank
. trade
. paypal
– amennyiben egy ilyen ablakot észlel, beindítja keylogger részét, majd az így megszerzett adatokat továbbítja egy távoli website részére (azaz a legrosszabb esetben ki is lehet zsebelni ennek révén a fertőzött PC tulajdonosát)
– átnézi a merevlemezt olyan állományok után, mely a következő sztringek valamelyikét tartalmazzák elérési útvonalukban: distr, download, setup, share
– ha talál ilyen file-okat, melyenek kiterjesztése rar, zip, pif vagy exe, és hosszabb mint a ___u, akkor egy file-t az eredeti néven, de a ___u sztringgel kiegészítve létrehoz egy \___b nevű alkönyvtárban
– az új állományhoz annyi nullát fűz hozzá, hogy annak mérete megegyezzék az eredetivel; s az ikonját is lecseréli arra, amelyiket az eredeti tartalmazza; majd a művelet végén az állomány kap egy .exe kiterjesztést
– különböző kiterjesztéssel bíró file-okból e-mailcímeket gyűjt, majd (néhány kivétellel) ezekre továbbítja magát