DoS-támadást kezdeményező trójai program

A fertőzött e-mail tulajdonságai

Csatolmány: a következők valamelyike:
• office.exe
• notes.exe
• doom3demo.exe
• resume.exe
• files.exe
• request.exe
• info.exe
• details.exe
• result.exe
• results.exe
• install.exe
• setup.exe
• test.exe
• google.exe
• se_files.exe

Megjegyzés: a file ikonjaként az Adobe Acrobat által használt ikon jelenik meg.

A trójai program paraméterei

Felfedezésének ideje: 2004. augusztus 16.
Utolsó frissítés ideje: 2004. augusztus 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 52.294 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– létrehozza a 4D36E64A-W325-121E-BFC1-080C2BE11318 nevű mutexet, hogy csak egyszer töltődhessen be a memóriába
– felmásolja magát a következő helyre: [Windows elérési útvonala]/system/services.exe
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz az alábbi értékeket:
. ˝.Prog˝=˝[Windows elérési útvonala]/system/services.exe˝
. ˝BuildLab˝= ˝[Windows elérési útvonala]/system/services.exe˝
. ˝ccApps˝=˝[Windows elérési útvonala]/system/services.exe˝
. ˝FriendlyTypeName˝=˝[Windows elérési útvonala]/system/services.exe˝
. ˝Microsoft Visual SourceSafe˝=˝[Windows elérési útvonala]/system/services.exe˝
. ˝RegDone˝=˝[Windows elérési útvonala]/system/services.exe˝
. ˝TEXTCONV˝=˝[Windows elérési útvonala]/system/services.exe˝
. ˝WMAudio˝=˝[Windows elérési útvonala]/system/services.exe˝
– e-mailcímek után keres a rendszer bizonyos állományaiban, s a megtaláltakat a System könyvtárba, a Setup32ea.bak file-ba menti le
– e-mailen továbbítja magát a fenti címekre saját SMTP-motorja által, kivéve azokra, amelyek az alábbi sztringek közül valamelyiket tartalmazzák:
• .gbl
• symant
• norton
• @mcaf
• openbsd
• freebsd
• gnu.
• .gov
• .mil
• microso
• kaspers
– megkeresi a rendszerre esetlegesen feltelepített file-megosztó alkalmazásokat, és azok megosztási könyvtárába különböző figyelemfelkeltő neveken bemásolja magát
– DoS-támadást kísérel meg az alábbi weboldalak ellen:
• www.hvr-systems.cc
• www.real-creative.de
• www.2rebrand.com
• www.designload.com
• www.designgalaxy.net
• www.procartoonz.com
• www.designload.net