A legújabb Netsky féreg trójai program is egyben

A fertőzött e-mail tulajdonságai

Tárgy: Mail Delivery failure – [felhasználónév]@domain.com

Tartalom: If the message will not displayed automatically, you can check original in attached message.txt.

Failed message also saved at: www.[domain.com]/inbox/security/read.asp?sessionid-(random 4 digit number)

(check attached instructions)

Csatolmány: message txt(véletlen sok szóköz) mcafee.com

A féreg paraméterei

Felfedezésének ideje: 2004. október 21.
Utolsó frissítés ideje: 2004. október 22.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a C meghajtó gyökerében a csrss.exe állományt, ami egy trójai program, majd le is futtatja; ez a következő dolgokat viszi véghez:
. hozzáadja a Key Logger=C:/csrss.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/ Registry kulcshoz
. létrehozza a C gyökerében a csrss.bin file-t, amely maga nem ártalmas
. proxy-szerverként viselkedik, s akár állományokat is letölthet a támadó utasítására az Internetről
– e-mailcímek után kutat a következő kiterjesztéssel bíró állományokban: .dat, .dbx, .eml, .mbx, .mdb, .tbb, .wab
– azon file-okból is e-mailcímeket gyűjt, melyek neve tartalmazza az inbox sztringet
– saját SMTP-motorja révén a fent ismertetett karakterisztikában továbbítja magát a megszerzett címekre
– SYN csomagokat küld véletlenszerűen megválasztott IP-címekre, véletlszerűen kiválasztott, 28000 és 28500 közé eső TCP portokon át