Levél a ˝Microsofttól˝ – valójában vírusálca

A fertőzött e-mail tulajdonságai

Tárgy: [tag1][tag2][tag3][tag4], ahol:
[tag1]
. Re:
. Fwd :
. RE: RE:
[tag2]
. New
. This is cool
. Watch out
. Open
. Look at
[tag3]
. MSPatch
. Program
. Patch
. update
[tag4]
. (237)
. (2378)
. (23781)
. (237813)
Tartalom: Look at this!!! Microsoft svchost Patch:
Please run a search on your computer for the file name SVCHOST.EXE if this file is found on your system run the update patch provided in the attatchment of this email.
Regards,
Adam Voldran
MSUpdate Devision
Microsoft Corp.
Csatolmány: az alábbiakból választ egyet:
. 6BDD1FC1-810F-11D0-BEC7-08002BE2092F.EXE
. x86_Microsoft_Windows_Networking_Dxmrtp_6595b64144ccf1df_4868_x-ww_212f7d9e.exe
. x86_Microsoft_Windows_Networking_RtcDll_6595b64144ccf1df_4868_x-ww_b168a28c.exe
. x86_Microsoft_Windows_CPlusPlusRuntime_6595b64144ccf1df_x-. ww_2726e76a.exe
. svchost.exe
. oleaut32.exe
. swflash.exe
. QuickTimeUpdateHelper.exe
. SYMTEM_(Writen_by_INDUSTRY).exe
. 5283952.exe
. up(21379123).exe
. elkern_UPS_23913.exe
. massive_head_injury.jpg.exe
. MS_UPDATE_(126).exe
. ITS_A_BOMB.exe
. I_AM_A_WORM_DONT_OPEN_ME_LOL.exe
. WINDOWS_XP.exe
. INFECT_YOUR_COMPUTER_NOW(hehe).exe
. HI_KIRSTY.exe
. CHANNEL_UKVX(undernet).exe

A féreg paraméterei

Felfedezésének ideje: 2003. július 17.
Védekezés elkészültének ideje: 2003. július 18.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 106.496 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a következő könyvtárakba:
. c:/
. c:/winnt/
. c:/windows/
– ehhez a csatolmányban levő neveket használhatja, illetve a következő hármat: SYMTEM.exe, _backup.exe.exe, _backup.exe
– megkísérli bemásolni magát a következő helyekre, az alábbi file-neveken:
. C:/Documents and Settings/All Users/Documents/SYMTEM.EXE
. C:/Documents and Settings/All Users/Start Menu/Programs/Startup/SYMTEM.EXE
. C:/Windows/All Users/Start Menu/Programs/Startup/SYMTEM.EXE
– megkísérli felülírni a következő állományokat önmagával:
. C:/Program Files/Common Files/InstallShield/Engine/6/Intel 32/Ikernel.exe
. C:/Program Files/NetMeeting/conf.exe
. C:/Program Files/MSN Messenger/msnmsgr.exe
. C:/Program Files/Common Files/Microsoft Shared/MSInfo/msinfo32.exe
– hozzáadja az Swf32 C:/_backup.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– az Outlook Address Bookban levő összes kontakt számára továbbítja magát az Outlook használatával, a fent ismertetett karakterisztikában