Csatolmány nélkül fertőző féreg

A fertőzött e-mail jellemzői

Feladó: VirusAlert@symantec.com

Tárgy: Virus Alert id: [5 véletlenszerűen kiválasztott számjegy]

Tartalom: You received this message as a valuable
Symantec.com member since September 23, 2003.

************************************************************
WARNING! Your computer was infected by VIRUS:
Worm.SomeFool.P

You can install this utility to remove virus
************************************************************

http://[domain]/FxAgentB.exe

A féreg paraméterei

Felfedezésének ideje: 2005. március 19.
Utolsó frissítés ideje: 2005. március 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba debugmonitor.exe néven, majd hozzáad egy, erre a file-ra mutató bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a rendszerleíró adatbázishoz a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Driver32 és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Driver32 kulcsokat
– megkísérel letölteni egy HTML állományt, ami a PWSteal.Trojan egyik változatát tartalmazza; ezt aztán, ha sikerrel járt, a System könyvtárba menti el temp1.exe néven, majd le is futtatja
– e-mailcímekhez próbál hozzájutni a következő kiterjesztésű állományok átkutatása után: .adb, .asp, .dbx, .htm, .php, .pl, .sht, .tbb, .txt, .wab
– saját SMTP-motorja révén továbbítja magát a fenti módszerrel megszerzett címekre
– megjelenít egy üzenetablakot AVToolkitPro fejléccel, melynek tartalma a következő lesz: Operation Completed