Weboldalakat elérhetetlenné tevő féregvírus – újabb változat

A fertőzött e-mail jellemzői

Feladó: [hamis cím]@yahoo.com

Tárgy: a következők valamelyike:
– WE COULD NOT OPEN THE ATTACHMENT!!!
– MAILER-DAEMON@%s
– news@bbc.co.uk
– Thank You [név]!
– Re: Details ([név])
– Password Reset For [név]
– Undelivered Mail Returned to Sender ([név])
– BREAKING NEWS: US begin the war against IRAN!
– Your account ([név]) will be closed
– [név], What you have to say?
– Mail Delivery System ([név])
– Mail Transaction Failed ([név])
– I WILL KILL [név]
– WARNING: [név], WHY YOU TRY TO HACK OUR WEBSITE?

Tartalom: a következők közül egy:
– Hi Melinda,see my gift for your birthday ;-)call me and say what you think about it?Love,Bill
– The message contains Unicode characters and has been sent as an attachment (in binary).
– WARNING:This message contains (attached) users personal data and you may not use it for personal use, remember that you accept the agreement, and you are responsible for any kind of misuse of the users personal data.
– we can´t find anything usefull in your attachment See the attached file for details
– What you think? you are just a piece of shit!

Csatolmány: az alábbiak egyike:
– doc.exe
– doc.scr
– pics.exe
– pics.scr
– nothing.exe
– nothing.scr
– alongtimeago.exe
– alongtimeago.scr
– text22F1.exe
– document.scr
– untitled.exe
– CA112732.exe
– [véletlenszerűen választott karakterek].zip

A féreg paraméterei

Felfedezésének ideje: 2004. március 12.
Utolsó frissítés ideje: 2004. március 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 17.920 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba svchost.exe, a System könyvtárba 1enel.dll néven
– bemásolja magát WinStart.pif néven a következő könyvtárakba:
Windows 2k/XP alatt
. C:/Documents and Settings/All Users/Start Menu/Programs/Startup
. C:/Documents and Settings/[aktuális felhasználó]/Start Menu/Programs/Startup
Windows 2k/XP alatt
. C:/Windows/All Users/Start Menu/Programs/Startup
. C:/Windows/Start Menu/Programs/Startup
– létrehozza a következő állományokat:
. Windows/W32.Cyclone..htm
. System/1check.dll
. System/1eml.dll
. System/1seml.dll
. System/1url.dll
. System/1vis.dll
– létrehozza a Temp könyvtárban a Doc állományt, melyet ezt követően Notepaddel nyit meg; a szöveg értelmetlen adatokat tartalmaz, megnyitása után letörli ezt a file-t
– létrehozza a C-OnE nevű mutexet
– végrehajtatja a net.exe stop ˝Norton AntiVirus Auto Protect Service˝ parancsot, így a rendszerre esetlegesen feltelepített Norton Antivírus futása leáll
– létrehozza vagy felülírja a System könyvtárban levő drivers/etc/hosts mappa állományát a következő szöveggel:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com|
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 support.microsoft.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 localhost
– amennyiben a Kazaa fel van telepítve a fertőzött rendszerre, bemásolja magát a szoftver fogadott file-ok könyvtárába a következő neveken:
. Screensaver-Hot Girls-part%d.scr
. Winamp5.01.exe
. BAD-GIRLS(Playboy)-ScreenSaver.scr
. Playboy-Screensaver-Nov-03.scr
– létrehoz egy végrehajtási szálat annak érdekében, hogy folyamatosan beállítsa a Windows Services Host=[Windows elérési útvonala]/svchost.exe bejegyzést a következő két Registry kulcsban:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– .mbx, .wab, .html, .eml, .htm, .asp, .shtml, .txt,és .dbx kiterjesztésű file-ok után kutat
– amennyiben talál ilyen állományokat, kigyűjti a bennük található e-mailcímeket, majd saját SMTP-motorja révén továbbítja is önmagát ezekre a címekre (néhány kivétellel)