BIOS- és merevlemez törlő féregvírus

A féreg paraméterei

Felfedezésének ideje: 2002. december 24.
Védekezés elkészültének ideje: 2002. december 27.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 17.408 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: közepes
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megkeresi a Win.ini állományon belül a [msappfont] részt
– amennyiben megtalálja (amely egyébként alapállapotban nem része a file-nak), megnézi a valid== sorát (amely a fertőzés dátumát tartalmazza), ha nem találja, akkor létrehozza
– ugyanitt létrehozza a font= és a style= kezdetű sorokat is
– bármilyen év december 24-e és 31-e közötti vagy 2002-nél nagyobb dátum esetén leellenőrzi, mikor futott utoljára a féreg
– megnézi a C:/Win.ini állományt, ha ebben is megtalálja a magára utaló bejegyzést, akkor az azt jelzi, hogy a hálózaton keresztül érkezett a féreg
– ha megtalálta a magára mutató bejegyzést a Win.ini állományban, akkor létrehozza a következő file-okat a C meghajtó gyökerében:
Msdos.sys (19 byte)
Autoexec.bat (15 byte)
Mslicenf.com (1706 byte) – futásakor törli a merevlemez bootrészét és a CMOS-t, valamint megsemmisít minden adatot a merevlemezen és egy üzenetet jelenít meg
Boot.ini (88 byte)
Bootsect.dos (512 byte)
Boot.exe (4096 byte) – futtatásával leállítható és újraindítható a rendszer
– a féreg a Boot.exe révén újraindítja a rendszert, majd aktiválja az Mslicenf.com file pusztító hajlamait
– ezek után a következő szöveg jelenik meg:
NOTICE:

Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!

Your unauthorized license has been revoked.

For more information, please call us at:

1-888-NOPIRACY

If you are outside the USA, please look up the correct contact information on our website, at:

www.bsa.org

Business Software Alliance
Promoting a safe & legal online world.
– ha a fenti kondíciók nem teljesülnek, akkor a féreg megvizsgálja, hogy eredetileg a Windows könyvtárban található-e és a neve Mqbkup.exe; ha nem, akkor ide másolja magát ezen a néven, jelenlegi állapotát pedig törli
– létrehozza az mqbkup61616 mutexet, így garantálván, hogy csak egyszer kerül be a memóriába
– létrehozza az mqbkup [Windows elérési útvonala]/mqbkup.exe vagy az mqbkupdbs [Windows elérési útvonala]/mqbkup.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– Windows 9x/Me alatt service processként regisztrálja magát
– C:/ megosztások után keresgél a hálózaton, ha talál a következőket teszi:
1. felmásolja magát a Windows könyvtárba Mqbkup.exe néven
2. hozzáadja a következő sort a Win.ini állományhoz:
run=c:/windows/mqbkup.exe
3. kihasznál egy Windows 9x/Me alatt ismert biztonsági hibát; az ezt javító patch letölthető a lenti linkről