Windows-frissítésnek látszó e-mail terjed

A fertőzött levél tulajdonságai

Feladó: support@microsoft.com

Címzett: meghamisított e-mailcím

Tárgy: a következők egyike:
– Microsoft Updates News
– Security Updates News
– Service Pack 2 Updates News
– System Updates News
– Microsoft Operating System Updates News
– Microsoft Security Updates News
– Microsoft Update News Letter
– Microsoft News
– Update News
– Microsoft´s big security Update News

Tartalom: Service pack 2 is due soon for microsoft users, Bug fixes, Internet Explorer patches and NEW security features. Please read more from the file attcahed to this microsoft news letter.

Csatolmány: MsNews.vbs

A féreg paraméterei

Felfedezésének ideje: 2004. december 14.
Utolsó frissítés ideje: 2004. december 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– minden olyan process-t leállít, mely a Script vagy a Block sztringet tartalmazza a nevében
– létrehozza a System könyvtárban a Tskmgr32.vbs állományt, melyet le is futtat; ezzel képes bármilyen process-t leállítani, aminek a neve: Taskmgr.exe
– ugyanitt létrehozza és futtatja a User32.reg és a SysReg.reg állományokat
– létrehozza önmaga másolatait az alábbi helyeken és neveken:
. [System elérési útvonala]/MsNews.vbs
. [Windows elérési útvonala]/SysLogs/Syslog32.vbs
. [Program Files elérési útvonala]/WindowsUpdate/Wupdmgr.tmp/Wupdscn.vbs
– hozzáadja a Spore=[System elérési útvonala]/MsNews.vbs bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a DisallowRun=1 bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer kulcshoz
– ugyanitt, a DisallowRun alkulcsba felviszi a következő bejegyzéseket:
. 1=regedit.exe
. 2=notepad.exe
. 3=wordpad.exe
. 4=write.exe
. 5=wuauclt.exe
– a fenti módosítás révén a bejegyzett szövegszerkesztőkkel nem lehet többé elolvasni a rendszerre felmásolt állományokat
– e-mailcímeket gyűjt különböző kiterjesztésű állományokból (néhány példa: doc, hta, rtf, txt, xml)
– elküldi önmaga másolatát minden e-mailcímre, amit begyűjtött
– megjeleníti a következő év első napján az alábbi üzenetet: Vbs.Spore@mm (c) 2004
W A R N I N G :
Your system resources is in a critical state. To avoid any damages to your system or files, Please restart your computer or contact the system administrator.
– pofátlanul e-mailt küld az antivírus termékeket fejlesztő cégeknek; a következő karakterisztikában:

Feladó: billgates@microsoft.com

Címzett: az alábbiak egyike:
. support@sophos.com
. newvirus@kaspersky.com
. virus_research@nai.com
. info@mcafee.com
. virus_doctor@trendmicro.com
. support@support.trendmicro.com
. samples@f-secure.com
. anti-virus-support@f-secure.com
. vsample@avertlabs.com
. SecurityResponse@Symantec.com

Tárgy: a következők valamelyike:
. A strange vbs file on my pc..!!
. Is this vbs file appart of windows operating system..??
. I found a vbs virus on my pc.!!
. HELP.. i´ve been infected with a vbs virus..
. I think i have a vbs virus..??
. HELP… vbs virus infection..!!!
. Here is a new vbs virus i found..!!
. My system has been infected with a vbs file..!!
. Not again, I´ve just been infected again.. (vbs)
. My pc is acting strange..??

Tartalom: Hello,
I found this vbs file on my pc. But i´m not too sure if it is a virus so i am sending you a copy for safety reasons..!