Már érkezik a Windows XP SP2 – vírus formájában

A fertőzött e-mail tulajdonságai

Feladó: ˝Microsoft˝ [support@microsoft.com]
Tárgy: WindowsXP Service Release Pack 2.002 vagy Re:hya
Csatolmány: Install.exe
Tartalom: Istall the program in the attachment.

A féreg paraméterei

Felfedezésének ideje: 2002. november 8.
Védekezés elkészültének ideje: 2002. november 11.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 32.256 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– leellenőrzi az inf érték meglétét a HKEY_LOCAL_MACHINE/Software/PieceByPieceB Registry kulcsban
– amennyiben a fenti kulcs és érték létezik, akkor a féreg belekezd terjedési rutinjába
– ha nem létezik, akkor létrehozza a Registry kulcsot, beállítja a fenti értéket és felmásolja magát a System könyvtárba Wsys[két véletlenszerűen választott szám].exe néven, valamint a C meghajtó gyökerében a Boot64.bin állományt, amely a féreg MIME64-kódolt változata
– hozzáadja a Kernel32.dll module C:/[System elérési útonala]/wsys[két véletlenszerűen választott számjegy].exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– service processként regisztrálja magát és képes néhány behatolásvédelmi eszköz futó processét likvidálni
– október 18-án megjeleníti a cikk mellett látható ablakot

Terjedési rutin

A féreg több lehetőséget is igyekszik kihasználni elterjedése érdekében.

– megkeresi a Kazaa helyét a merevlemezen a következő Registry kulcsból: HKEY_CURRENT_USER/Software/Kazaa/Transfe/DlDir0
– felmásolja az alábbi könyvtárakba magát (ha azok léteznek):
C:/Program Files/Edonkey2000/Incoming
C:/Program Files/Bearshare/Shared
C:/Program Files/Morpheus/My Shared Folder
a következő file-nevekből egyet választván: Kmd22.exe, Winxpserial.exe, Wamp3.exe, Wmplay9.exe
– amennyiben a Mirc fel van telepítve a számítógépre, a script.ini állományát módosítja oly módon, hogy a fertőzött számítógéppel egy csatornához kapcsolódó felhasználók számára elküldje magát
– .htm és ideiglenes Internet file-okból e-mailcímeket szerez, ahova továbbítja magát a fent ismertetett karakterisztikában