Máris mutálódott a tűzfalakat kicselező féreg

A fertőzött levél tulajdonságai

Feladó: [hamis cím]

Tárgy: egy több elemből álló listából válogat, néhány példa:
– Re: User ID Update
– Fwd: Your Funds are Eligible for Withdrawal
– find a solution with this customer
– No Subject
– Re: Help Desk Registration
– failure notice
– Fwd: Password

Tartalom: ugyanaz igaz rá, mint a tárgyra, néhány példa:
Hello,
Sorry, I forgot to attach the new contact information.
Please view the attached (.pdf) contact sheet.
Sincerely,
User

Hello,
I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks,
User

Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.
Best Regards,
User

Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for instructions.
Regards,
User

Csatolmány: vagy egy kettős kiterjesztéssel (.doc[sok szóköz].exe) vagy pedig ZIP formátumban érkezhet a fertőzött állomány, melynek neve olyan egyszerű szavakból kerülhet ki, mint az alábbiak:
– read
– readme
– contact
– mail
– att
– warning
– db
– msg
– message
– messages
– archive
– arch
– support
– account

A féreg paraméterei

Felfedezésének ideje: 2004. október 5.
Utolsó frissítés ideje: 2004. október 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 253.954 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System mappában tutorial.doc[számos szóköz].exe néven
– hozzáadja a syslogin.exe=syslogin.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz, így a Windows minden egyes indulásakor betöltődik a memóriába
– a System könyvtárban létrehozza a dl.exe, a syslogin.exe, a tutorial.doc[szóközök].exe és a tutorial.zip nevű file-okat
– letiltja a Windows tűzfalát a következő paranccsal: netsh firewall ipv4 set opmode | mode=disable
– távolról letölt és futtat állományokat
– feltelepíti saját hálózati meghajtójáprogramját a System könyvtárba annak érdekében, hogy kikerülhesse a helyi tűzfalakat:
. drivers/ndisrd.sys
. ndisrd.sys
. ndisapi.dll
– létrehozza a következő bejegyzést:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NDISRD
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .txt, .htm, .dbx, .tbi, .tbb
– a fenti információkat, a fertőzött számítógép IP-címét és gateway-ének elérhetőségét szintén a System mappában tárolja, a következő állományokban: jobdb.dll, ipdb.dll, wdate.dll
– ezekre a címekre aztán továbbítja önmagát