Vírusértesítőnek álcázza magát a legújabb Mydoom

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím

Tárgy: az alábbiak közül egy:
– [üres]
– Attention!!!
– Do not reply to this email
– Error
– Good day
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status
– hello

Tartalom: a következők valamelyike:
– The message contains Unicode characters and has been sent as a binary attachment.
– The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
– Mail transaction failed. Partial message is available.
– Do not visit these sites!!!
– You have visited illegal websites.
I have a big list of the websites you surfed.
– You think it´s funny? You are stupid idiot!!! I´ll send the attachment
to your ISP and then I´ll be watching how you will go to jail, punk!!!
– Your credit card was charged for $500 USD. For additional information
see the attachment
– ESMTP [Secure Mail System #334]: Secure message is attached.
– Encrypted message is available.
– Delivered message is attached.
– Can you confirm it?
– Binary message is available.
– am shocked about your document!
– Are you a spammer? (I found your email on a spammer website!
– Bad Gateway: The message has been attached.
– Here is your documents you are requested.
– [link a mcafee.com domainjére]
Attention! New self-spreading virus!
Be careful, a new self-spreading virus called “RTSW.Smash” spreading
very fast via e-mail and P2P networks. It´s about two million people
infected and it will be more.
To avoid your infection by this virus and to stop it we provide you with
full information how to protect yourself against it and also including
free remover. Your can find it in the attachment.
2004 Networks Associates Technology, Inc. All Rights Reserved

Csatolmány: .bat, .cmd, .exe, .pif, .scr, .zip kiterjesztéssel bíró állomány, melynek neve a következők valamelyike:
– body
– message
– docs
– data
– file
– rules
– doc
– readme
– document

A féreg paraméterei

Felfedezésének ideje: 2005. február 7.
Utolsó frissítés ideje: 2005. február 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 33.792 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a rendszerben az alábbi állományokat:
. a System könyvtárban: lsasrv.exe, version.ini
. abban a könyvtárban, ahol elindításra került: hserv.sys
– létrehozza a -=RTSW.Smash 0a2a0=- mutexet
– hozzáadja az lsass=[System elérési útvonala]/lsasrv.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon kulcs Shell értékét a következőre módosítja: explorer.exe [System elérési útvonala]/lsasrv.exe
– létrehozza az ideiglenes file-ok mappájában a Mes#wtelw.txt állományt, mely csupán értelmetlen adatokat tartalmaz; ezt aztán a Notepad révén meg is jeleníti a felhasználó számára
– e-mailcímeket gyűjt az Address Bookból és a következő kiterjesztéssel bíró állományokból: .wab, .pl, .adb, .tbb, .dbx, .asp, .php, .sh, .htm, .txt
– saját SMTP-motorja révén továbbítja magát a fenti módszerrel összegyűjtött e-mailcímekre (néhány kivétellel)
– képes bizonyos file-megosztó alkalmazások megosztott könyvtárába bemásolni magát az alábbi nevek egyikével (bat, exe, pif vagy scr kiterjesztéssel):
. porno
. NeroBROM6.3.1.27
. avpprokey
. Ad-awareref01R349
. winxp_patch
. adultpasswds
. dcom_patches
. K-LiteCodecPack2.34a
. activation_crack
. icq2004-final
. winamp5
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– a hosts állományt átírja oly módon, hogy számos, antivírus termékek fejlesztésével foglalkozó cég weboldala mellé a local loopback IP-címét rögzíti, ezáltal elérhetetlenné teszi a site-okat