Jelszó-feltörő programnak (is) álcázott féregvírus

A fertőzött e-mail paraméterei

Tárgy: a következőkből választ egyet:
Important Notice, Mp3 sites, A ScreenSaver, Email spoofer, Password Cracker, Hotmail passwords
Csatolmány: az alábbiakból választ egyet: EmailFix.exe, Mp3Connect.exe, Hilarious.scr, EmailGen.exe, PswdCrack.exe, EmailHacker.exe
Tartalom: egy hat elemből álló listából választ egyet

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 17.
Utolsó frissítés ideje: 2003. február 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 21.504 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– amennyiben a System könyvtárban nem található meg az MSTng32.exe, megjeleníti a következő hamis hibaüzenetet:
[file-név] is not a valid Win32 application
– megkísérli magát felmásolni License.exe néven, illetve a Windows könyvtárba a következő neveken:
EmailFix.exe, EmailGen.exe, EmailHacker.exe, Hilarious.scr, Keymapp32.exe, Mp3Connect.exe, Msdnssrv.exe, Msnetwrk32.exe, Msostart32.exe, Msregmc32.exe, Msscndsk.exe, Mwintype.exe, Notice.tng, PswdCrack.exe, Unicode32.scr, Windns32.exe, Wncnet32.exe, Wnetcon32.exe, Cmdinst32.exe, Dostng32.pif, Mscabdrv.exe, MSTng32.exe, Mswpdmgr.exe, Netwc32.exe, OMServ32.exe, Re-inst32.scr, Unitxt32.exe, Wincmndr.exe, Winlnkmgr.exe
– megkísérli felmásolni magát az összes hálózati meghajtóra License.exe néven
– az összes helyi és hálózati meghajtót átkutatja BAT kiterjesztésű állományok után; minden egyes ilyen file végére hozzáfűzi a következő sort: @if exist [System elérési útvonala]/MSTng32.exe @win [System elérési útvonala]/MSTng32.exe
– hozzáadja az Mstng32 [System elérési útvonala]/MSTng32.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a HKEY_USERS/.DEFAULT/Software/Zed/[rRlf]/Win32/TaNG Registry kulcsot és annak alapértékét a következőre állítja: W32/TaNG by Zed/[rRlf]
– file-megosztó alkalmazások (Kazaa, Morpheus, Bearshare stb.) könyvtárai után kutat a helyi és a hálózati meghajtókon
– ezekben a mappákban meghatározott kiterjesztésű állományok után keres, ha talál, akkor azokat felülírja saját magával, a file neve pedig a következő lesz: [eredeti file-név.kiterjesztés].exe; a veszélyeztetett állományok: .scr, .pif, .mp3, .mp2, .gif, .bmp, .dib, .png, .jpg, .jpeg, .jpe, .tif, .tiff, .mpg, .mpeg, .mpe, .avi, .mov, .m3u, ,.b4s, .tmp, .txt, .lnk, .bat, .mdb, .ppt, .pps
– a Mirc könyvtára után kutat, ha megtalálja, felülírja annak Script.ini állományát, hogy az szétküldje a férget IRC-n is
– ugyanígy jár el a Pirch esetében is
– az alábbi mappákat megkeresi a C meghajtón:
C:/Virc
C:/Program Files/Virc
C:/Programme/Virc
C:/Programmi/Virc
– ammennyiben ezek közül bármelyiket is megtalálja, hozzáadja az Event17 dcc send $nick [Windows elérési útvonala]/Notice.pif bejegyzést a HKEY_USERS/.DEFAULT/Software/MeGALiTH Software/Visual IRC96/Events Registry kulcshoz
– a Windows Address Bookjában található összes kontakt számára továbbítja magát e-mailben
– létrehozza a Windows könyvtárában az MSTngmgr32.ocx állományt
– hozzáadja az alábbi bejegyzéseket a következő Registry kulcsokhoz:
AccessVBOM 1
Level 1
HKEY_CURRENT_USER/Software/Microsoft/Office/[Office verzió]/Word/Security
HKEY_CURRENT_USER/Software/Microsoft/Office/[Office verzió]/Excel/Security
– az alábbi beállításokat kapcsolja ki:
Microsoft Macro Virus Protection
Save Normal Prompt
Confirm Conversions
– megfertőzi a Word Normal.dot template-jét
– felülírja a Personal.xls állományt az Excel Startup könyvtárában