Levél a vírusirtó cégtől – valójában önmaga is fertőz

A fertőzött e-mail tulajdonságai

Feladó: az alábbi (meghamisított) e-mailcímek közül egy:
. Ministerio de Ciencia y Tecnologia [info@myct.es]
. Panda Antivirus [info@myct.es]
Tárgy: a következőkből választ egyet véletlenszerűen:
. Información sobre la LSSICE
. Información sobre la LSSICE y sus consecuencias
. Nuestras libertades en internet en peligro
. FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE aparece en internet
. FW:CAMPAÑA de información sobre la LSSICE
. Fw:Te reenvío esta presentación que me ha llegado, ya me contarás
. NUEVO VIRUS muy PELIGROSO
. Resumen de la ley de internet
. Nuevas formas de control
. a las buenas
. palabrerias
. importante ACTUALIZACIÓN PARA WINDOWS
. el fichero que me pediste
. Acelerador de descargas ultra pequeño!!
. Salvapantallas cachondisimo
. PandaSoftware: Nueva utilidad para protegerte de hop.a
Tartalom: több, előre elkészített változat közül választ egyet véletlenszerűen
Csatolmány: az alábbiakból választ egyet:
. www.lssi.es.exe
. www.mcyt.com.exe
. ley.pdf.exe
. resumen.txt.exe
. texto.txt.exe
. ley lssi.pdf.exe
. ley de internet y el comercio electronico.txt.exe
. que no jueguen con tus libertades.txt.exe
. texto integro de la lssice.txt.exe
. NO A LA LSSICE, otra internet es posible.txt.exe
. www.senado.lssice.es.exe
. Rg2catdb.exe
. presentacion.exe
. downloadit.exe
. xscreensaver.scr
. FixWin32-hop.a.exe

A féreg paraméterei

Felfedezésének ideje: 2003. július 14.
Védekezés elkészültének ideje: 2003. július 16.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 47.132 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja a C meghajtó gyökerébe az LSSI INFO.txt állományt, amely spanyol szövegű tartalommal bír
– megjeleníti a fenti állomány tartalmát
– szintén a C meghajtó gyökerébe másolja fel a NO A LA LSSICE.txt és az i-worm_info.txt file-okat
– önmagát is felviszi a rendszerbe; a C drive gyökerébe Windows_update.exe illetve a Windows könyvtárba Explorer.exe néven
– Windows 9x/Me alatt process-ként regisztrálja magát
– létrehozza a WindowsUpdate=c:/windows_update.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– megszerzi a felhasználó e-mail címét és SMTP szerverének adatait a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager/Accounts kulcsból
– beazonosítja a felhasználó .NET e-mail accountját és megszerzi az ezzel kapcsolatos információkat a HKEY_CURRENT_USER/Software/Microsoft/MessengerService/ListCache/.NET Messenger Service és a HKEY_CURRENT_USER/Software/Microsoft/MSNMessenger/ListCache/.NET Messenger Service Registry kulcsok átvizsgálása révén
– minden tíz másodpercben leellenőrzi a www.microsoft.com URL pingelésével, hogy van-e Internet-kapcsolat
– hozzáadja a HKEY_CURRENT_USER/Software/Kazaa/LocalContent kulcshoz az alábbi bejegyzéseket:
dir0=012345:C:/
dir1=012345:C:/
dir2=012345:D:/
– annak érdekében, hogy a Kazaa felhasználói is letölthessék a fertőzést, bemásolja magát a C és a D meghajtó gyökerébe a következő neveken:
. Microsoft OfficeXP key Generator.exe
. MicrosoftWindowsXP key Generator[by_ka0s_te4m].exe
. Microsoft Universal Crack.exe
. Macromedia Flash 5 key Generator.exe
. AdobePhotoshop 7 crack.exe
. gta3 crack NO CD.exe
. HackersTools 7.5.exe
. Tony Hawks pro Skater4!!! crack.exe
. Macromedia Universal crack.exe
. Adobe uniVersal crack.exe
. Unreal Tournament 2003 KeyMaker [by_nobody].exe
– a Kazaa egyéb megosztott könyvtáraiba is bemásolhatja magát, amelyet a HKEY_CURRENT_USER/Software/Kazaa/Transfer kulcsból olvas ki
– felméri a hálózati erőforrásokat és megkísérel kapcsolatot létesíteni a korlátozás nélküli megosztásokkal; ha sikerül, felmásolja magát különböző figyelemfelkeltő neveken
– megkísérli frissíteni a Win.ini távoli állományt
– kontaktok után keres a következő kiterjesztéssel bíró állományokban: *.wab, *.dbx, *.mbx, *.pst, *.pmr, *.pmo, *.html, *.htm
– a fent ismertetett karakterisztikában továbbítja magát e-mail révén; az elektronikus levél oly módon van megszerkesztve, hogy ha a rendszerre nincsen feltéve egy korábbi biztonsági javítás, akkor automatikusan képes a fertőzésre