A Symantec website-ja ellen támadást indító féreg

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím, melynek domainje az alábbiak közül egy lesz:
– cox.net
– yahoo.com
– msn.com
– yahoo.co.uk
– t-online.de
– gmx.net
– hotmail.com
– aol.com
– mail.com
– dailymail.co.uk

Tárgy: néhány példa:
– Re:Help
– Hi
– FW:Hi
– Hello
– Re:Test
– Failn
– Delivery status Notification
– Important
– Re:Important
– FW:Important

Tartalom:
[üzenet]
+++ Attachment: No Virus [vagy itt állhat az Infection szó is] found
+++ [antivírus]
ahol az [üzenet] egy számos listából kiválasztott sor lehet, néhány példa:
– test
– Please read the important document.
– I have attached document.
– Waiting for a Response. Please read the attachment.
– Thanks!
– Please see the attached file for details
– Please read the attached file!
– Please confirm!
– Please answer quickly!
– For more details see the attachment.
– For further details see the attachment.
– Monthly news report.

az [antivírus] pedig a következők egyike:
– Norton AntiVirus – www.symantec.de
– F-Secure AntiVirus – www.f-secure.com
– Norman AntiVirus – www.norman.com
– Panda AntiVirus – www.pandasoftware.com
– Kaspersky AntiVirus – www.kaspersky.com
– MC-Afee AntiVirus – www.mcafee.com
– Bitdefender AntiVirus – www.bitdefender.com
– MessageLabs AntiVirus – www.messagelabs.com

Csatolmány: egy pif, scr,exe, cmd vagy bat kiterjesztésű állomány, melynek neve a következők egyike lesz:
– message.qbp
– letter.qbp
– report.qbp
– bqc.qbp
– bqcument.qbp
– information.qbp
– error.qbp
– Fix.qbp
– check.qbp
– read.qbp
– screen.qbp
– file.qbp

A féreg paraméterei

Felfedezésének ideje: 2004. szeptember 14.
Utolsó frissítés ideje: 2004. szeptember 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 88.640 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– létrehozza az alábbi Registry kulcsokat:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
. HKEY_CURRENT_USER/Software/Microsoft/Daemon
. HKEY_LOCAL_MACHINE/Software/Microsoft/Daemon
– létrehozza a Sept-Symantec-Attack nevű mutexet, így csak egyszer töltődik be
– letörli az összes file-t a Windows Temp mappájából
– létrehozza a következő állományokat az alábbi helyeken:
. Temp/Services.exe: ez az állomány a Backdoor.Zincite.A trójai program
. System/About_Mydoom.txt: szöveges (így ártalmatlan) file
. System/Doompic.jpg: JPEG file
. System/log32zx.exe: ez az állomány a Keylogger.Trojan program
. System/Downxz.bat: ez az állomány a Download.Trojan program
– felmásolja magát a Sytem könyvtárba oz11111.exe és a Windows mappájába oz2.exe néven
– hozzáadja a következő bejegyzéseket az alábbi kulcsokhoz:
. Downxz=[System elérési útvonala]/Downxz.bat
. Microsoft Windows updaterD=[System elérési útvonala]/log32zx.exe
. oz2=[windows elérési útvonala]/oz2.exe
. Services=[Temp mappa elérési útvonala]/services.exe
. www.symantec.com=[System elérési útvonala]/oz11111.exe
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
– DDoS-támadást kezdeményez a Symantec webhelye ellen egy GET kérelem elküldéséven a 80-as TCP porton át; ezt idén szeptembertől október elejéig teszi
– a Registry-ből kikeresi a Kazaa megosztott könyvtárának elérhetőségét, majd ha sikerrel járt, akkor bemásolja oda magát exe, scr, pif vagy bat kiterjesztéssel
– az Outlook Address Bookjából kigyűjti az e-mailcímeket, s így tesz a következő könyvtárakban található állományokkal is:
. [Felhasználói profil elérési útvonala]/Local Settings/Temporary Internet Files
. [Felhasználói profil elérési útvonala]/Desktop
. [Felhasználói profil elérési útvonala]/My Documents
. [Felhasználói profil elérési útvonala]/Application Data
. [Windows elérési útvonala]/Temporary Internet Files
. [Windows elérési útvonala]/Desktop
. [Windows elérési útvonala]/My Documents
. [Windows elérési útvonala]/Application Data
. [System könyvtár elérési útvonala]
– lekéri a HKEY_CURRENT_USER/Software/Microsoft/WAB/WAB4/Wab File Name Registry kulcs tartalmát is, és az itt található könyvtárak elérési útvonalait végignézve további címeket gyűjt be
– saját SMTP-motorja révén továbbítja magát a fenti címekre