Bizonyos webcímeket elérhetetlenné tevő féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen választott szöveg; néhány példa:
. Fw: Critical Patches
. Hi check your computer with this!!!
. Your previous message is infected
. Fix for New Worm Threat
. Critical Updates
Tartalom: egy több mint 20 elemből álló listából választ egyet véletlenszerűen; természetesen olyat, ami illeszkedik a Tárgyban levő, figyelemfelkeltő szöveghez
Csatolmány: szintén egy előre elkészített listából válogat; néhány példa:
. MS-Q3946.EXE
. FixBlast.com
. FixBlastz.com
. MS-Q3526.com

A féreg paraméterei

Felfedezésének ideje: 2003. november 12.
Utolsó frissítés elkészültének ideje: 2003. november 15.
Veszélyeztetett rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 58.880 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba a következő file neveken (rejtett attributummal): msmgr32.exe (ezt az állományt felmásolja a Startup menübe is), exe32.exe
– létrehozza a következő állományokat a Windows könyvtárban és a System/etc/ könyvtárban: Hosts, Lmhosts
– a fenti állományokban szereplő IP-címek és NetBIOS nevek révén a következő URL-ekhez teszi elérhetetlenné a hozzáférést (IP-címként számukra a 127.0.0.1-et definiálva):
. www.symantec.com
. www.microsoft.com
. www.sophos.com
. www.avp.ch
. www.mcafee.com
. www.trendmicro.com
. www.pandasoftware.com
. www3.ca.com
. www.ca.com
– létrehozza a System könyvtárban az mss32.dll állományt, amiben a megszerzett e-mailcímeket fogja tárolni
– létrehozza a Cookies könyvtárban az anyuser@yahoo.com.txt állományt, mely tulajdonképpen egy billentyűzet-leütést figyelő trójai program (Keylogger.Trojan)
– hozzáadja az MsManager=[System elérési útvonala]/msmgr32.exe bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunService
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunService
– módosítja a lenti kulcsok alapértelmezett értékét a következőre: ˝@˝=˝[System elérési útvonala]/exe32.exe˝˝%1˝%*˝
. HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES/batfile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES/comfile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES/exefile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES/piffile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES/scrfile/shell/open/command
– letiltja a Registry eszközöket a DisableRegistryTools=1 bejegyzés felvitelével a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System Registry kulcsba
– létrehozza a következő kulcsokat:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/RedWorm
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Winver
. HKEY_LOCAL_MACHINE/Winver
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcsból az alábbi értékeket:
. syshelp
. WinGate initialize
. Module Call initialize
. WinServices
. WindowsMGM
– letörli a WinServices bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsból
– letörli a WindowsMGM értékét a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsból
– önmagát service-ként regisztrálja
– a következő process-eket, ha aktívak, leállítja:
. Winservices
. TCPSVS32
. NAV32_LOADER
. WINGATE.EXE
. SYSHELP.EXE
. WINMGM32.EXE
. WINK
– amennyiben léteznek, a System könyvtárból letörli a következő állományokat:
. WinServices.exe
. nav32_loader.exe
. tcpsvs32.exe
. syshelp.exe
. WinGate.exe
. WinRpcsrv.exe
. winmgm32.exe; illetve a Windows könyvtárból a SNTMLS.DAT file-t
– felméri az aktív ablakokat, és amennyiben azok neveiben a lenti sztringek bármelyikét is megtalálja, azonnal lezárja:
. Windows Task Manager
. System Configuration Utility
. Registry Editor
. Process Viewer
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– DoS-támadást kísérel meg előre beállított és véletlenszerűen meghatározott hostokkal szemben a 135-ös, a 139-es és a 445-ös portokon keresztül
– átnézi a Windows könyvtárban levő INETPUB/WWWROOT könyvtárat (ha létezik), s az ott levő .htm vagy .html állományok mindegyikét felülírja a következővel:
[BR][BR][BR][CENTER][B][U]Ha..Ha..Haaa…[/CENTER][/U][/B]
– minden helyi és hálózati meghajtót átvizsgál, s felmásolja magát MCCP32.EXE néven oda, ha a következő könyvtárak valamelyikére bukkan:
. WINDOWS
. WIN98
. WIN95
. WINNT
. WINME
. WINME
. WINXP
– ha az előző művelet sikerrel járt, akkor minden egyes helyen módosítja a Win.ini állományt, ahova fel tudta másolni magát; mégpedig a következő módon: beírja a [WINDOWS] részlegbe a Run=MCCP32.EXE sort
– megkeresi a Kazaa megosztott könyvtárát a Registry-ből, majd a következő műveleteket hajtja végre:
. minden .com, .exe és .scr file-t átnevez, aminek mérete nagyobb vagy akkora, mint a féregé, .mp3-ra
. annyi másolatot készít magáról (az eredeti file-nevet felhasználva), ahány állományt az előbb átnevezett
. néhány 00 byte-ot képes hozzáfűzni másolataihoz, így a méret látszólag nem változik