Friss Internet Explorer hibát kihasználó féreg

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: egy előre elkészített listából válogat, néhány példa:
– Remember me?
– Hi again
– Me again
– Me and you 🙂
– Important, see attchmnt
– My secret
– Secret message
– For your eyes only!

Tartalom: egy előre elkészített listából választ, néhány példa:
– Hi, [véletlenszerűen választott név] has sent you an christmas postcard.
– Merry X/-Mas!
– Happy New Year!
– Postcard for you
– New Year Postcard from your friend
– New Year Postcard from [random name]
– Happy holidays! 😉

Csatolmány: .exe, .scr, .pif vagy .zip kiterjesztésű file

A féreg paraméterei

Felfedezésének ideje: 2005. január 19.
Utolsó frissítés ideje: 2005. január 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 59.185 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba services.exe
névvel
– önmagát service-ként regisztrálja, a következő paraméterekkel:
. név: NetBios Ext
. megjelenített név: NetBios Ext
. elérési útvonal: [Windows elérési útvonala]/services.exe serv
. indítás típusa: automatikus
– létrehozza a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/NetBios Ext kulcsot a rendszerleíró adatbázisban
– hozzáadja az RPCserv32=[Windows elérési útvonala]/services.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a következő Registry kulcs értékeit, hogy kikerülhesse a rendszer tűzfalát:
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/SharedAccess/
. Parameters/FirewallPolicy/DomainProfile/AuthorizedApplications/List
– különböző webcímekhez kísérel meg hozzáférni, hogy onnan megpróbálkozzék a Backdoor.Nemog.D trójai program letöltésével, illetve ha sikerrel járt, futtatásával
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– a hosts file módosításával elérhetetlenné tesz számos antivírus termékekkel foglalkozó oldalt
– megkísérel e-mailcímeket szerezni a www.google.com és a www.accoona.com URL-ek használatával
– e-mailcímeket gyűjt a Windows address bookjából és különböző, a rendszeren található állományokból
– saját SMTP-szervere révén továbbítja magát a megszerzett címekre (néhány kivétellel)
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/App Paths/ICQ.exe Registry érték lekérdezésével megkeresi az ICQ elérési útvonalát (ha az fel van telepítve a megtámadott rendszerre)
– bemásolja ide magát a következő nevek egyikén:
. 1.exe
. mymusic.pif
. rulezzz.scr
. matrix.scr
. newvirus.exe
. mylove.pif
. antibush.scr
. icqcrack.exe
. myfack.pif
. hello.pif
. pinguin5.exe
. you the best.scr
. fantasy.scr
. coolgame.zip[many spaces].exe
. mynewphoto.zip[many spaces].exe
. mult.exe
– megkísérel ICQ-n keresztül terjedni, egy rövid üzenetet küld a kontaktlistán szereplőknek, mely tartalmaz egy, a féregre mutató linket is; néhány példa:
. view my postcard http:/ /[link]
. merry-christmas http:/ /[link] !!!
. happy x-mas http:/ /[link] !
. about Saddam Hussein http:/ /[link]
. sex on mars http:/ /[link] LOL
– megkísérli kihasználni a még tavaly decemberben felfedezett Microsoft Internet Explorer Malformed IFRAME Remote Buffer Overflow Vulnerability névre hallgató sebezhetőséget, minek révén a fenti üzenetben elküldött domainekről letöltődhet a féreg egy másolata