Biztonsági frissítésnek álcázott féreg terjed

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: egy nagyon hosszú listából válogat, melyben többnyire biztonsági frissítésnek igyekszik álcázni a fertőzött levelet; néhány példa:
– latest net security patch for your system
– latest microsoft critical upgrade
– latest internet critical upgrade
– latest network critical pack
– latest network critical patch
– latest network critical update
– latest net critical pack

Tartalom: három részből áll:
I. rész: a következők egyike:
– Try this upgrade.
– Here is the upgrade.
– This is the latest patch for your system.
– Download the patch.
– Run this patch.
– Check.
– Dear User, Make your system clean and safe by patch your system with the latest updates.
– Try this update now.
– Try this patch now.
– Check the attachment to apply the patch.
– Update your system now.
– Patch your system now.
– You can check the attachment for more information.
– this is the latest version of security update. just download and run attached file and click ok to msg boxes.
– Check the attachment to patch your system for latest update.
– Check the attachment.
– Check the attachment for more information.
– Checkout the attachment for more information

II. rész: +++ Attachment: No Virus found

III. rész: a következők egyike:
– +++ Attachment: No Virus found
– +++ MessageLabs AntiVirus – www.messagelabs.com
– +++ Bitdefender AntiVirus – www.bitdefender.com
– +++ MC-Afee AntiVirus – www.mcafee.com
– +++ Kaspersky AntiVirus – www.kaspersky.com
– +++ Panda AntiVirus – www.pandasoftware.com
– +++ Norman AntiVirus – www.norman.com
– +++ F-Secure AntiVirus – www.f-secure.com
– +++ Norton AntiVirus – www.symantec.com

Csatolmány: egy .cmd, .cpl, .exe, .pif .scr vagy .zip kiterjesztésű állomány, melynek neve a következőképp néz ki: [szöveg][szám], ahol a szöveg pack, update, patch lehet, a szám pedig egy 1-7 jegyű szám lehet (például: update926284)

A féreg paraméterei

Felfedezésének ideje: 2004. október 4.
Utolsó frissítés ideje: 2004. október 5.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 36.864 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehozza a következő mutexeket, megakadályozandó az egyes Netsky féregvariánsok működését:
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. ____—>>>>U<<<<--____
. _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– megjeleníti a fent látható üzenetet
– patch31345.exe néven felmásolja magát a Windows, a System és az ideiglenes állományokat tartalmazó mappába
– létrehozza a következő két Registry kulcs egyikét:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
– hozzáadja az AV Client=[System elérési útvonala]/patch31345.exe és az AV Industry=[Windows elérési útvonala]/patch31345.exe bejegyzést a lenti kulcsok egyikéhez:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– letörli a rendszerleíró adatbázisból a feltelepített behatolásvédelmi szoftverek bejegyzéseit
– a System/drivers/etc/hosts állományban számos local loopback (127.0.0.1) bejegyzést tesz rengeteg, antivírus termékkel foglalkozó cég website-jának domainneve mellé, így elérhetetlenné téve ezeket az oldalakat a fertőzött rendszeren használt böngészőből
– a Windows könyvtárba a következő két állományt tölti le egy előre meghatározott webhelyről: eex.exe, eex2.exe
– számos file-megosztó alkalmazás (Limeware, Edonkey, ICQ, Kazaa, Kazaa Lite stb.) megosztott könyvtárába, illetve a Windows saját shared mappájába igyekszik bemásolni magát
– ha létezik, módosítja a Program Files könyvtárban levő mIRC mappa script.ini állományát, így IRC-n keresztül is terjedőképessé téve önmagát
– ha a következő elérési útvonalak léteznek, megkísérli felmásolni oda magát:
. C:/Winnt/Profiles/Default User/Start menu/Programs/Startup/patch31345.exe
. C:/Winnt/Profiles/Administrator/Start menu/Programs/Startup/patch31345.exe
. C:/Winnt/Profiles/All Users/Start menu/Programs/Startup/patch31345.exe
. C:/Documents and Settings/Default User/Start menu/Programs/Startup/patch31345.exe
. C:/Documents and Settings/Administrator/Start menu/Programs/Startup/patch31345.exe
. C:/Documents and Settings/All Users/Start menu/Programs/Startup/patch31345.exe
. C:/Windows/Start menu/Programs/Startup/patch31345.exe
. C:/WinMe/Start menu/Programs/Startup/patch31345.exe
. C:/Win95/Start menu/Programs/Startup/patch31345.exe
. C:/Win98/Start menu/Programs/Startup/patch31345.exe
– megjelenít egy másik üzenetet, melyben arról tájékoztatja a felhasználót, hogy véget ért a ˝patch-elés˝
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– a Windows Address bookjából és különböző állományokból e-mailcímeket gyűjt, majd ezekre saját SMTP-motorja révén továbbítja is magát