W32.HLLW.Fizzer@mm – az utóbbi idők legveszélyesebb féregvírusa!

A fertőzött e-mail jellemzői

Tárgy: a következőkből választ egyet véletlenszerűen:
. I thought this was interesting…
. rather psychedelic…
. found this on the net, you might like it…
. discothèque
. imbrue
. Damn it feels good to be gangsta.
. The way I feel – Remy Shand
. Paradigm Shift
. WASSUP!
. Know Thyself
. Hell
. I love you
. Please discard if you don´t like or agree with our present leadership…
. little popup remover
. B cannot remember
. Yo, WASSUP, B?
. an interesting program…
. You might not appreciate this…
. I think you might find this amusing…
. LOL
. check this out… hehehe
. question…
. see you tomorrow.
. how are you?
. you need to lose weight.
. why?
. kind of simple, but fun nonetheless.
. check it out
Csatolmány: véletlenszerűen generált, kiterjesztése a következők egyike: .exe, .pif, .com, .scr
Tartalom: a következők egyike:
. I sent this program (Sparky) from anonymous places on the net.
. The way to gain a good reputation is to endeavor to be what you desire to appear.
. There is only one good, knowledge, and one evil, ignorance.
. Watchin´ the game, having a bud.
. Did you ever stop to think that viruses are good for the economy? Maybe the primary creators of the world´s worst viruses are the companies that make the Anti-Virus software.
. Today is a good day to die…
so, how are you?
the attachment is only for you to look at
you must not show this to anyone…
delete this as soon as you look at it…
. Let me know what you think of this…
If you don´t like it, just delete it.
thought I´d let you know
you don´t have to if you don´t want to.

A féreg paraméterei

Felfedezésének ideje: 2003. május 8.
Védekezés elkészültének ideje: 2003. május 12.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 241.664 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: közepes
Károkozás mértéke: közepes
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba iservc.exe és initbak.dat neveken
– létrehozza a következő állományokat a Windows könyvtárban:
. ProgOp.exe (15.360 byte)
. iservc.dll (7.680 byte), ez a féreg billentyűzet-logoló része
. data1-2.cab, ebben tárolja kódolt formában a megszerzett e-mailcímeket
. iservc.dat
. Uninstall.pky
. upd.bin
– hozzáadja a SystemInit=[Windows elérési útvonala]/iservc.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– elindítja az iservc.exe állományt, mint egy processt a startupnál
– módosítja a HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command Registry kulcs default értékét a következőre:
@=[Windows elérési útvonala]/ProgOp.exe 0 7 ´[Windows elérési útvonala]/notepad.exe %1´´[Windows elérési útvonala]/initbak.dat´´iservc.exe´
– megkísérli leállítani az összes processt, aminek a neve tartalmazza az alábbi stringek legalább egyikét:
NAV, SCAN, AVP, TASKM, VIRUS, F-PROT, VSHW, ANTIV, VSS, NMAIN
– létrehoz egy SparkyMutex nevű mutexet, ezzel elkerülve, hogy kétszer is betöltődjön a memóriába
– több IRC szerverhez is csatlakozik különböző felhasználóneveken, majd alkotójától érkező parancs(okra) vár; néhány IRC szerver, amelyhez kapcsolódik:
irc.awesomechat.net
irc.blueshadownet.org
irc.chatlands.org
irc.darkmyst.org
irc.hemmet.chalmers.se
irc.exodusirc.net
irc.mirc.gr
– minden leütött billentyűt lement egy kódolt állományba: [Windows elérési útvonala]/iservc.klg
– felmásolja magát a Kazaa letöltési könyvtárába egy véletlenszerűen választott állománynévvel
– a 81-es porton futtat egy HTTP szervert
– a következő portokat használja még további backdoor képességeinek biztosítására: 2018, 2019, 2020, 2021
– megkísérel csatlakozni a Geocities website-okhoz, hogy update-elje magát; jelenleg ezen oldalak egyike sem érhető el
– a Windows Address Bookjából, a cookie állományokból, az internetes ideiglenes állományokból és az aktuális felhasználó személyes könyvtárából gyűjt e-mailcímeket
– továbbítja magát a fenti címekre az aktuális MAPI program révén; a küldő nevét és címét megváltoztathatja