Szerelmes e-mailnek álcázott féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen válogat egy előre elkészített adatbázisból:
– Heres a poem for you
– Ive written a poem for you
– Love poems for you 🙂
– Look what i wrote for you
– Poems for you
– Roses are red,
– You are mine,
– I love you until im dead,
– It will all be fine.
– I do miss you
– I do love you
– what you want me to do?
– I never want to go.
– Where did you run?
– Where did you hide?
– I stand here undone
– I stand here inside
– How could u do that
– Why did you say that
– How do you feel inside
– I wish i just could hide
Csatolmány: véletlenszerűen válogat egy előre elkészített adatbázisból:
– LovePoem.pif
– Poem_collection.pif
– Zipped_poems.exe
– My Poems.txt.exe
– Poems.pif
– Sad Stories and Poems.pif
– My Story.pif
– The Poems.pif
– Poems for you.pif
– Only Poems.txt.pif

A féreg paraméterei

Felfedezésének ideje: 2003. december 22.
Utolsó frissítés ideje: 2003. december 23.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 23.552 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtára Cissi.exe néven
– amennyiben Windows 9x/Me operációs rendszerbe jut be, a féreg módosítja a System.ini állományt, így minden egyes rendszerindításkor lefuthat
– Windows NT/2k/XP/2k3 esetén a féreg megkísérel egy bejegyzést felvinni a rendszerleíró adatbázisba, ez azonban az elrontott kód miatt nem sikerül neki
– egy önmagáról készített másolat révén hozzáadhatja magát a Startup csoporthoz a start menüben; bár ennek reprodukálására a vírustesztelés alatt nem került sor
– ezt követően a féreg nekilát terjedésének, mely történhet e-mailben, backdoorként és hálózaton keresztül

Backdoor terjedés

– létrehoz egy végrehajtási szálat, hogy csatlakozzon egy előre meghatározott csatornához az irc.undernet.org címen levő IRC-szerveren
– egy véletlenszerűen generált néven kapcsolódik a 6667-es porton
– amennyiben sikeresen létrejött a csatlakozás, a szervertől érkező parancsokra vár

Hálózati terjedés

– a hálózaton keresni kezd olyan számítógépek után, melyeket megfertőzhet; ehhez a NetBIOS protokollt használja
– véletlenszerűen generált IP-címeken próbálkozik kapcsolódni a számítógépekhez a 135-ös, a 139-es és a 445-ös NetBIOS portokon át
– először jelszó nélkül igyekszik bejutni a rendszerbe, ha ez nem sikerül neki, akkor egy előre elkészített lista elemeit próbálgatja végig