Windows Hotfix! – érkezik a fertőzött e-mailben

A fertőzött e-mail jellemzői

A következő, előre elkészített listából választ egyet véletlenszerűen:

Feladó: Lovergirl@hotmail.com
Tárgy: Do you remember last summer?
Csatolmány: Last Summer.scr

Feladó: Webmaster@planet-source-code.com
Tárgy: Api Hooking Tutorial…
Csatolmány: Api Hooking-Tutorial.exe

Feladó: Support@microsoft.com
Tárgy: Windows Hotfix!
Csatolmány: Q30215HOTFIX.pif

Feladó: SecurityResponse@symantec.com
Tárgy: Warning Feladó: Symantec.com
Csatolmány: FixSql.com

Feladó: Admin@hackers.com
Tárgy: u wanted to hack?
Csatolmány: Hotmail Hacker.exe

Feladó: Lovergirl963@hotmail.com
Tárgy: Do you remember last summer?
Csatolmány: Last Summer.scr

Feladó: Lovergirl963@hotmail.com
Tárgy: Fwd:Fwd:Fwd:Sit back and be surprised…
Csatolmány: Magical-Screensaver.scr

Feladó: Admin@screensavers.com
Tárgy: The Magic screensaver
Csatolmány: Magical-Screensaver.scr|

Feladó: ebmaster@Loveforlife.com
Tárgy: Feel the reason why we fall in love…
Csatolmány: Love.scr

Feladó: Webmaster@Outwar.com
Tárgy: Outwar is proud to present you:Outwar InterActive
Csatolmány: OutWar Demo.exe

Feladó: Soccerfan@yahoo.com
Tárgy: Fwd:Fwd:Fwd:Soccer…
Csatolmány: Soccer Database.exe

Feladó: Webmaster@beautifulgirls
Tárgy: Christina Aguilera:The most beautiful girl on earth
Csatolmány: Christina Aguilera-The most beautiful girl on earth.scr

Feladó: webmaster@screensavers.com
Tárgy: Saddam a live and kickin
Csatolmány: Saddam-the real pics.scr

Feladó: Admin@jokes.com
Tárgy: The Virtual Joke…
Csatolmány: Virtual Joke.scr

Feladó: flipbabe@hotmail.com
Tárgy: Fwd:Fwd:Whats really happening in bagda
Csatolmány: Saddam-the real pics.scr

Feladó: mailinglist@Msn.com
Tárgy: Get the new Msn 5.1!
Csatolmány: MsnMsgs.exe

Feladó: mailinglist@healthcare.com
Tárgy: How to protect yourself against SARS
Csatolmány: HowTo-SARS.exe

A féreg paraméterei

Felfedezésének ideje: 2003. május 5.
Védekezés elkészültének ideje: 2003. május 5.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 108.544 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba CyberWolf.exe néven, rejtett és rendszer attributummal
– felmásolja magát a System könyvtárba a következő figyelemfelkeltő neveken:
. Kernel32.exe
. Api Hooking-Tutorial.exe
. Christina Aguilera-The most beautiful girl on earth.scr
. FixSql.com
. Hotmail Hacker.exe
. HowTo-SARS.exe
. Last Summer.scr
. Love.scr
. Magical-Screensaver.scr
. MsnMsgs.exe
. OutWar Demo.exe
. Setup.exe
. Soccer Database.exe
. Saddam-the real pics.scr
. Virtual Joke.scr
. Q30215HOTFIX.pif
. WinExec.bin
. winlogon.sys
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz a következő két bejegyzést:
CyberWolf=[Windows elérési útvonala]/CyberWolf
Windoes Kernel=[System elérési útvonala]/kernel32.exe
– hozzáadja a REGEDIT.EXE alkulcsot a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/App Paths Registry kulcshoz, majd ennek a következőképp állítja be alapértékét:
[Default]=[System elérési útvonala]/kernel32.exe
– a fenti módosítás révén minden alkalommal lefut a féreg, amikor a felhasználó megnyitja a Registry Editort
– hozzáadja az MSCONFIG.EXE alkulcsot a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/App Paths Registry kulcshoz, s ebbe beleírja a következő bejegyzést:[Default]=[System elérési útvonala]/kernel32.exe
– a fenti módosítás révén minden alkalommal lefut a féreg, amikor a felhasználó megnyitja az msconfig.exe állományt
– hozzáadja a system=[System elérési útvonala]/kernel32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcshoz
– módosítja a HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES/exefile/shell/open/command Registry kulcs alapértékét az alábbi módon:
[Default]=[System elérési útvonala]/kernel32.exe
– módosítja a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced kulcs két értékét:
Hidden=2
HideFileExt=1
– leállítja a következő processeket (ha futnak):
. COMMAND
. SYSHELP
. RAVMOND
. WINRPC
. WINHELP
. WINGATE
. TASK
. TASKMGR
. MSCONFIG
. REGEDIT
. egyéb behatolásvédelmi programok futó processei
– megkeresi a Registry-ben a Kazaa letöltési könyvtárát (ha a Kazaa fel van telepítve), majd oda bemásolja magát a következő neveken:
. AIM Remote Password Cracker.exe
. Chaos Ip Spoof 2003.exe
. FTP Cracker-2003(Crack the password of ANY FTP server with this tool!).exe
. Hotmail Exploiter 2003.exe
. Msn Messenger Remote Password Cracker 2003.exe
. Netbios hacker.exe
. Ultimate HackProg.exe
. Virus Creation ToolKit-VX v7.1_create virii with this tool,Klez.H and Sircam has been created with version 6.exe
. WebAttack-DoS Tool.exe
. XNuker 2003.exe
. Yahoo Remote Password Cracker Deluxe 2003.exe
– a féreg felmásolja magát a következő könyvtárakba is (ha azok léteznek):
C:/Program Files/Morpheus/My Shared Folder
C:/Program Files/Bearshare/Shared
C:/Program Files/Edonkey2000/Incoming
– módosítja a script.ini állományt (ha a Mirc fel van telepítve), így IRC-n keresztül is képessé válik a szaporodásra (Magical-Screensaver.scr néven továbbítja magát ezen a kommunikációs csatornán)
– megkeresi a rendszert használó nevét, e-mail címét és az SMTP szerverének IP-címét a Registry-ben
– saját SMTP motorja révén az Outlook Address Bookban található összes személy számára továbbítja magát
– nyit egy böngészőablakot, az alábbi URL-ek egyikével:
http://www.indiansnakes.cjb.net.
http://www.christinaaguilera
http://www.brain-hack.com