Postafiókók jelszavas feltörése – újabb vírusálca

A fertőzött e-mail jellemzői

A következő, előre legenerált levélsémákból válogat:

Tárgy: The file
Csatolmány: [véletlenszerűen generált file-név].exe vagy [véletlenszerűen generált file-név].pif
Tartalom:
Here is the file that you asked for a few days ago.
I´m sorry I sent it this late

Tárgy: Re:
Csatolmány: Card_0[véletlenszerűen generált szám].pif
Tartalom:
Hello,
Have I sent you the Gift Card in the attachments before? if not, check it
out!
Cya!

Tárgy: Joke book
Csatolmány: JokeBook.pif
Tartalom:
Hello,
Check out the joke book in the attachments! it has some really good jokes
(not lame jokes hehe)
Have fun!

Tárgy: Read this before?
Csatolmány: Hackers[rendszerdátum év része].pif
Tartalom:
Hello,
have you read the ˝Hackers of 2002˝?
If you haven´t, It is in the attachments 🙂
It contains true stories, hacking techniques, and more!
It is a fairly big thing to read, so don´t read it all at once!
Cya!

Tárgy: Better than KaZaA?
Csatolmány: P2PInstall.exe
Tartalom:
If you download music files from the internet, you would know that KaZaA is
seen to be the best file-sharing network for music. Well, I have included a
file in the attachments that connects and downloads music twic as fast as
what KaZaA can do. It works well with my computer!
Enjoy!

Tárgy: The file
Csatlomány: (a következők egyike):
New WinZip File.pif
New Microsoft Word Document.pif
New Microsoft Excel Worksheet.pif
New Microsoft PowerPoint Presentation.pif
New Text Document.pif
New Bitmap Image.pif
Tartalom:
Here is that file you wanted (in the attachments).

A féreg paraméterei

Felfedezésének ideje: 2003. május 20.
Védekezés elkészültének ideje: 2003. június 2.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 18.432 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba a következő neveken:
. Winexec32.exe
. [véletlenszerűen generált név].exe
. [véletlenszerűen generált név].pif
. Card_0[véletlenszerűen generált szám].pif
. JokeBook.pif
. Hackers[rendszerdátum év része].pif
. P2PInstall.exe
. New WinZip File.pif
. New Microsoft Word Document.pif
. New Microsoft Excel Worksheet.pif
. New Microsoft PowerPoint Presentation.pif
. New Text Document.pif
. New Bitmap Image.pif
– felmásolja magát a System könyvtárba az alábbi neveken:
. Wininet32.ocx
. Mscab1_32.cab
. Mscab2_32.cab
. Mscab3_32.cab
. Mscab4_32.cab
. Mscab5_32.cab
. Mscab6_32.cab
– az összes meghajtó (kivéve a C) gyökerébe felmásolja magát SetupPasswords.exe néven
– felmásolja a System könyvtárába és futtatja is az Msexec32.vbs állományt
– hozzáadja a Outsider=W32/Outsider.B by Zed bejegyzést a HKEY_CURRENT_USER/Software/Zed/Outsider Registry kulcshoz
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz a Windows Explorer Shell=[Windows elérési útvonala]/Winexec32.exe bejegyzést
– hozzáadja a Winhlp32=Wscript.exe [System elérési útvonala]Msexec32.vbs %1 bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices kulcshoz
– megkeresi a következő könyvtárakat a merevlemezen:
.KMD/My Shared Folder
.Kazaa/My Shared Folder
.Kazaa Lite/My Shared Folder
.LimeWire/Shared
.Gnucleus/Downloads
.Gnucleus/Downloads/Incoming
.Shareaza/Downloads
.BearShare/Shared
.Edonkey2000/Incoming
.Edonkey[rendszerdátum év része]/Incoming
.Morpheus/My Shared Folder
.Grokster/My Grokster
.ICQ/Shared Files
.My Music
.My Documents/My Music
.My Downloads
– ezek után az alábbi helyeken kutat:
. C:/Program Files/
. C:/Programmer/
. C:/Program/
. C:/Programme/
. C:/Programmi/
. C:/ProgramFiler/
. C:/Programas/
. C:/Archivos De Programa/
. /
– amennyiben ráakad a keresett könyvtárak valamelyikére, bemásolja oda magát a következő, figyelemfelkeltő neveken:
. Hotmail Password Cracker.pif
. Remote Admin[rendszerdátum év része].exe
. DoS ICMP-flooder.pif
. How to hack SMTP servers.pif
. HackGuide [rendszerdátum év része].pif
. KaZaA SpeedUp Patch.pif
. Modem speed booster.exe
. Half-Life KeyGen.exe
. RTCW cheat-enabler.exe
– megkísérli leállítani a gépen található behatolásvédelmi szoftverek futó processeit