Windows javításnak álcázott féregvírus

A fertőzött e-mail jellemzői

Tárgy: a következők egyike:
. congratulations!
. darling
. Do not release, its the internal rls!
. Documents
. Pr0n!
. Undeliverable mail–
. Returned mail–
. here¦s a nice Picture
. New Internal Rls…
. here¦s the document
. here¦s the document you requested
. here¦s the archive you requested
Csatolmány:
. yourwin.bat
. probsolv.doc.pif
. flt-xb5.rar.pif
. document.doc.pif
. sexinthecity.scr
. torvil.pif
. win$hitrulez.pif
. sexy.jpg
. flt-ixb23.zip
. readit.doc.pif
. document1.doc.pif
. attachment.zip
. message.zip
. Q723523_W9X_WXP_x86_EN.exe

Tartalom: az alábbiak egyikével indít:
. Hi,
. Hello,
. Re:
. Fw:
ezt követi az aktuális felhasználó neve, majd a következő mondatok valamelyike:
. See the attached file for details.
. I have a document attached,
. which should solve your problems.
. The release file is attached…
. Send me your comments.
. Real outtakes from Sex in the City!!
. Adult content!!! Use with parental advisory =)
. Have a look the Pic attached !!
. dOnT gIvE iT aWaY…
. iTs cOnFiDeNtIaL =)
. here¦s the document that you had requested.
. That¦s the answer to all your questions.
. Have a look at the attatchment.

Ezen kívül még a következő két e-maillel találkozhat a szerencsétlen felhasználó:

Feladó: security@microsoft.com [az e-mailcím meg van hamisíva]
Tárgy: Who should read this bulletin: Users running Microsoft Windows
Tartalom:
Hello,
You should apply this fix which solves the newest
Internet Explorer Vulnerability described in MS05-023.
It is important that you apply this fix now since
we estimate the Buffer Overflow is at a Critical Level.
Sincerely Yours The Microsoft Security Team
2003 Microsoft Corporation. All rights reserved.
Csatolmány: Q723523_W9X_WXP_x86_EN.exe

vagy

Tárgy: Your Account at Info@[hamis domain] has expired.
Tartalom:
Hello [aktuális felhasználó neve]
We are sorry that we cannot offer our ˝old˝ service anymore.
Your account will expire at the 2003-11-23.
But after all, we still offer a free-mail service,
which you have to http://[hamis domain]
join right now !!!
Our new prices and services are described in the attached html file,
which is a compressed ZIP archive.
Sicerely Yours
The [hamis domain] Team
Csatolmány: message.zip

A féreg paraméterei

Felfedezésének ideje: 2003. október 12.
Utolsó frissítés ideje: 2003. október 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/Server 2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 65.536 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megjelenít egy üzenetet, melyben magát a Windows RPC-DCOM javításának tünteti fel
– bemásolja magát a Windows könyvtárba schost.exe néven
– felmásolja magát ugyanide egy EXE file formájában, a név pedig a következők valamelyike lehet:
. spool[véletlenszerűen választott betűk]
. SMSS[véletlenszerűen választott betűk]
– ismétlődően megnyit és bezár egy parancsablakot:
Fejléc: [az előbb említett file neve]
Message: [rendszerdátum és -idő] xExec [Windows elérési útvonala]/[az előbb említett file neve].exe
– létrehozza a C meghajtó gyökerében a Torvil.log állományt, mely önmagában nem veszélyes
– hozzáadja a Service Host=[Windows elérési útvonala]/[file-név].exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a Shell=Explorer.exe [Windows elérési útvonala]/[file-név].exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon kulcshoz
– létrehozza a OneLevelDeeper/TorvilDB alkulcsot a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explorer/Advanced Registry kulcsban; és hozzáadja a TORVIL=[file-név].exe bejegyzést
– létrehozza a Torvil mutexet, ezzel akadályozva meg, hogy többször is betöltődjön a memóriába
– Windows 9x és Millennium alatt service process-ként regisztrálja magát
– magát service-ként futtatja Windows NT/2k/XP alatt, Torvil néven
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– megkísérel gyenge jelszóval védett megosztásokhoz csatlakozni; ha sikerül, felmásolja oda magát Remainder.exe néven
– megkeresi a rendszerleíró adatbázisban a Kazaa és a Xolox megosztott könyvtárait, valamint az ICQ letöltési könyvtárát; felmásolja ide magát a következő neveken:
. NetObjects Fusion v7.5
. Macromedia Studio MX 2004 AllApps
. BearShare Pro 4.3.0
. Borland C++ BuilderX 1.0 Enterprise Edition
. Microsoft Office System Professional V2003
. Halo FLT
. Nero Burning ROM v6.0.0.19 Ultra Edition
. TVTool v8.31
. NHL 2004
. Norton SystemWorks 2004
. McAfee Personal Firewall Plus 2004
. iMesh 4.2 Ad Remover
. Norton AntiVirus 2004
. Norton Antispam 2004
. Sophos AntiVirus v3.74
. Macromedia Contribute 2
. McAfee VirusScan Home Edition 2004
. McAfee SpamKiller 2004
– megkísérli módosítani a Mirc.ini állományt annak érdekében, hogy az IRC-kliens a féreg másolatait szétküldje
– az Outlook Address Bookjából e-mailcímeket gyűjt, majd az aktuális MAPI program illetve saját SMTP-motorja révén továbbítja magát az összes címre