Jelszóhalász támadásokra figyelmeztető féreg

A fertőzött levél tulajdonságai

Feladó: scamalert@antiscam.com

Címzett: meghamisított e-mailcím

Tárgy: a következők egyike:
– Fw: Reminder to be aware of internet scams
– Re: Have you been a victim to internet scams
– A friendly reminder to ALL online bank users
– Fw: Dont be another victim..!!
– PHISHING the new way of internet banking scams
– Re: Help stop the internet scammers
– Fw: WARNING are a online banker..??
– Re: Gone phishing online.?? Well others have.!!
– Have you been hooked by an online PHISHERMAN..???
– Fw: Could you tell if you have been scammed online.??

Tartalom: To whom it may concern,

We at antiscam.com are just warning all the online banking account users to watch out for suspicious emails and web sites. If you would like to know more about how to report and avoid being a victim to another new internet scam then please read the attached file. Thank you for your time.

Csatolmány: Scmhlpr.vbs

A féreg paraméterei

Felfedezésének ideje: 2004. december 14.
Utolsó frissítés ideje: 2004. december 16.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 12.829 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– minden olyan process-t leállít, mely a Script vagy a Block sztringet tartalmazza a nevében
– létrehozza a System könyvtárban a Winmgmt32.vbs állományt, melyet le is futtat; ezzel képes bármilyen process-t leállítani, aminek a neve: Taskmgr.exe
– felmásolja magát az alábbi helyekre:
. [System elérési útvonala]/Scmhlpr.vbs
. [Windows elérési útvonala]/System/Scmhlpr.vbs
. [Windows elérési útvonala]/AppLogs/Applog32.vbs
. C:/Program Files/WindowsUpdate/Wuauclt.tmp/dwnldscn.vbs
– létrehozza és futtatja az alábbi állományokat:
. [System elérési útvonala]/ActiveUser32.reg
. [System elérési útvonala]/Win32Reg.reg
. [System elérési útvonala]/MsMisc.reg
. [Windows elérési útvonala]/System/Win32Reg.reg
. [Windows elérési útvonala]/System/ActiveUser32.reg
. [Windows elérési útvonala]/System/MsMisc.reg
. [Windows elérési útvonala]/System/MsMisc.reg
. [Windows elérési útvonala]/System/Winmgmt32.vbs
– hozzáadja a Spore.b=[System elérési útvonala]/Scmhlpr.vbs bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer kulcs következő értékeit:
. RestrictRun = 1
. NoFolderOptions = 1
. NoWinKeys = 1
. NoViewContextMenu = 1
. NoClose = 1
. NoSetFolders = 1
. NoDrives = 0x03ffffff
. NoRun = 1
. NoFind = 1
– hozzáadja a DisableRegistryTools = 1 bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System kulcshoz, ezzel tiltva le a rendszerleíró adatbázis módosítását
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/RestrictRun kulcs alábbi értékeinek beállításával használhatatlanná teszi az adott szövegszerkesztő programokat:
. 1 = notepad.exe
. 2 = wordpad.exe
. 3 = write.exe
. 4 = wuauclt.exe
– hozzáadja a Window Title = vbs.Spore.b@mm (c) 2004 bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main kulcshoz
– létrehozza az alábbi Registry alkulcsokat:
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/SysBIOS
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/SysBIOS/Virii
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/SysBIOS/Virii/Spore.b
– felviszi a Sys_Infected = vbs.Spore.b@mm bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/SysBIOS/Virii/Spore.b kulcsba
– letörli az összes állományt a Desktop és az Internet Explorer Favorites könyvtárakból
– parancsikonokat ad a Favorites könyvtárhoz, mely főként felnőtteknek szóló tartalmakkal rendelkező website-okra mutatnak
– e-mailcímeket gyűjt különböző kiterjesztésű állományokból (néhány példa: doc, hta, rtf, txt, xml)
– elküldi önmaga másolatát minden e-mailcímre, amit begyűjtött
– megjeleníti a következő álhibaüzenetet:
Windows Script Host

Script: wscript.exe vagy cscript.exe

Line: (0 és 499 közé eső véletlenszám)

Char: (0 és 999 közé eső véletlenszám)

Error: (az alábbiak egyike)
– Expected end of statement
– Object required: ´Virus Scan..!!´
– Expected ´System Update..!!´
– Syntax error
– Unterminated string constant

Code: (a következők közül egy)
– V!RU$ !nFeCt!oN
– vbs.Spore.b@mm
– y0u @sSh0l3
– To0 l@t3 $uCk3r
– DaMaGe !s d0n3
– $yst3m_0v3rl0aD
– $yst3m_!nFeCt!oN
– $yst3m_3rRoR
– BufF3r_Ov3rFl0w
– FaRr-Qu3 Lo0s3r

Source: Microsoft VBScript compilation error vagy Microsoft VBScript runtime error