Hiba az SP2-ben, figyelmeztet a féreg

A fertőzött levél tulajdonságai

Tárgy: Service Pack 2 BUG!!
Tartalom: néhány példa:
Dear user I have been informed that there was a BUG in Windows Service Pack 2 which was fixed I recommend you to download this Patch version which will fix the bug and keep your system safe.
You will find the Patch file in the attachment, feal free to send it to anyone.
I´ll be in touch with you as soon as another bug is found.
Regards,
A.H
Csatolmány: Fix_SP2.zip

A féreg paraméterei

Felfedezésének ideje: 2005. január 26.
Utolsó frissítés ideje: 2005. január 27.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 13.824 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a Windows könyvtárban a SERVICES.exe állományt, melyet az adott felhasználó könyvtárában található Start Menu/Programs/Startup mappába szintén bemásol
– létrehozza a C meghajtó gyökerében a Norton Antivirus.txt állományt, mely egy nem fertőző szövegfile
– hozzáadja a Norton Auto-Protect=SERVICES.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/windows/CurrentVersion/Run kulcshoz
– hozzáadja a [default]=SERVICES.EXE %1 bejegyzést a következő két Registry kulcshoz:
. HKEY_CLASSES_ROOT/txtfile/shell/open/command
. HKEY_LOCAL_MACHINE/txtfile/shell/open/command
– a fenti módosítás eredményeként a féreg minden alkalommal lefut, amikor egy szövegfile-t kíván megnyitni a rendszert használó
– hozzáadja a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Policies/Explorer/DisallowRun Registry kulcshoz az alábbi bejegyzéseket:
. 1=regedit.exe
. 2=notepad.exe
. 3=wordpad.exe
. 4=write.exe
. 5=wuauclt.exe
. 6=wupdmgr.exe
. 7=C:/Program Files/MSN Messenger/msnmsgr.exe
– hozzáadja a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Policies/System kulcshoz a DisableTaskMgr=dword:00000001 és a DisableRegistryTools=dword:00000001 bejegyzéseket
– hozzáadja a NoRun=dword:00000001 bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Policies/Explorer kulcshoz; ezen bejegyzések megtételével számos alkalmazás futtatását elérhetetlenné teszi
– különböző bejegyzéseket hoz létre a HKEY_LOCAL_MACHINE és a HKEY_CURRENT_USER szekciókban, amivel letiltja a Windows egyes védelmi funkcióit, például az automatikus frissítést és a tűzfalat
– létrehozza az alábbi bejegyzéseket:
. HKEY_CLASSES_ROOT/RDP.File/Friendlytypename=@SERVICES.exe, -4004
. HKEY_LOCAL_MACHINE/SOFTWARE/Classes/RDP.File/Friendlytypename=@SERVICES.exe, -4004
. HKEY_LOCAL_MACHINE/software/microsoft/windows/currentversion/
app paths/LUALL.exe/[default] =SERVICES.exe
. HKEY_LOCAL_MACHINE/software/microsoft/windows/currentversion/
runservices-/Windows Service=SERVICES.exe
. HKEY_LOCAL_MACHINE/software/microsoft/windows/currentversion/
windowsupdate/auto update/[default] =SERVICES.exe
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Agent Hacker/[default] =W32.Ahker.B@mm
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Agent Hacker/Version=B
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Agent Hacker/Coded In=Visual Basic 6.0
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Agent Hacker/Coded By =Agent Hacker
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Agent Hacker/Spread=VIA Outlook
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Agent Hacker/Exploit=Symantec Norton Antivirus Script Blocker Denial Of Service Vulnerability
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/ComputerName/
ActiveComputerName/ComputerName =Agent Hacker
. HKEY_LOCAL_MACHINE/software/Microsoft/windowsnt/currentversion/
ProductId=Agent Hacker
. HKEY_LOCAL_MACHINE/system/wpa/Key-MGM9K8XQ2GHRBGTP2TR93/
ProductID=Agent Hacker
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– különböző weboldalakat elérhetetlenné tesz a hosts file kibővítésével
– letölti az ahkerb.zip állományt egy geocities.com alá tartozó oldalról, és elmenti a C meghajtó gyökerében Fix_SP2.zip néven (a file a féreg másolatát tartalmazza)
– MAPI révén elküldi magát minden, a Windows Address Bookjában található kontakt számára
– miután végzett az e-mailezéssel, eltörli a Fix_SP2.zip állományt
– leállítja az SVCHOST.exe és az LSASS.exe process-ek futását