Kétszer fertőz a Mugly féregvírus

A fertőzött levél tulajdonságai

Feladó: hamis e-mailcím

Tárgy: az alábbiak közül egy:
– Hhahahah lol!!!!
– Your Pic On A Website!!
– Rate My Pic…….

Tartalom: a következők egyike:
i found this on my computer from ages ago
download it and see if you can remember it
lol i was lauging like mad when i saw it! 😀
email me back haha…

I was looking at a website and came across
this pic they look just like you! infact im sure
it is lol , did you send this pic into them ? or
is it someonce else :S ? Ive Added the pic in
a zip so download it and check & email me back!

Hi ive sent 5 emails now and nobody will rate
my pic!! 🙁 please download and tell me what you
think out of 10 , dont worry if you dont like it
just say i wont be offended p.s i was drunk when
it was taken 😛

Someone has asked us on there behalf to send
you this email and tell you they think you are
wonderfull!!! All the The mystery persons details
you need are enclosed in the attachment 🙂
please download and respond telling us if you
would like to make further contact with this
person.

Regards Hallmark Admirer Mail Admin.

Csatolmány: attachment.zip, mely a lenti állományok egyikét tartalmazza:
– Pic_001.exe
– Mary-Christmas.scr
– Hapy-new-year.scr
– Photo_01.pif
– admire_001.exe
– is_this_you.scr
– love_04.scr
– for_you.pif

A féreg paraméterei

Felfedezésének ideje: 2004. december 17.
Utolsó frissítés ideje: 2004. december 19.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 458.752 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba xxz.tmp néven
– létrehozza ugyanitt a következő állományokat:
. attached.zip: a féreg tömörített formája
. winprotect.exe: a W32.Spybot.Worm csak olvasható, rejtett és rendszer attributumokkal ellátott állománya
. uglym.jpg
. ANSMTP.DLL: egy nem fertőző ActiveX e-mailmotor
. bszip.dll: egy nem fertőző tömörítőmotor
. SVKP.sys
– létrehozza a bt32.exe nevű file-t a gyökérben
– megnyit egy böngészőablakot, hogy megjelenítse az uglym.jpg képet
– e-mailcímek után keres bizonyos kiterjesztéssel rendelkező állományokban
– regisztrálja saját SMTP-motorját a rendszerleíró adatbázisban különböző bejegyzések létrehozásával
– hozzáadja a virtual=winprotect.exe bejegyzést az alábbi kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/OLE/
– regisztrálja és új szolgáltatásként elindítja az SVKP állományt
– az ANSMTP.DLL segítségével elküldi magát minden megtalált címre, kivéve néhány antivírus cég domainjével rendelkező e-mailcímet
– felülírja a System/drivers/etc/hosts állományt annak érdekében, hogy lehetetlenné tegye az antivírus termékek fejlesztésével foglalkozó cégek weboldalainak elérését

W32.Spybot.Worm futása

– hozzáadja a virtual=winit.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/OLE, a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– letiltja a DCOM használatát a következő Registry kulcs módosításával: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/OLE/”EnableDCOM”=N
– létrehozza az alábbi service-t: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SVKP
– további backdoor funkciókra is képes lehet a windowss.serveftp.com-on található egy bizonyos csatornához való csatlakozással; itt alkotójától érkező parancsokra vár
– megkísérli bemásolni magát az ADMIN$, IPC$, C$ és D$ megosztásokba gyenge jelszavak próbálgatásával
– a következő sebezhetőségek kihasználásával igyekszik szaporodni:
. Workstation Service Buffer Overrun Vulnerability
. DCOM RPC Vulnerability
. sérülékenységek a Microsoft SQL Server 2000 vagy MSDE 2000 auditban
. Windows Local Security Authority Service Remote Buffer Overflow