A féreg, ami önmagára hívja fel a figyelmet

A fertőzött e-mail jellemzői

Feladó: meg van hamisítva, a következő három valamelyike:
– securityresponse@symantec.com
– security@microsoft.com
– security@trendmicro.com

Tárgy: a következők valamelyike:
– Please READ!
– You are infected!
– Read this to remove the infection!
– World´s most dangerous Internet Worm!
– Read it!
– READ! HURRY! BEFORE It´s too late!
– Read this TWICE!
– Ahker.E is infecting 100 of PC/min
– Microsoft´s Worst Fear!
– Read this for your PC safety!

Tartalom:
We have been informed that you are one of the victims of the latest worm: Ahker, the E variant.
You´re computer is infected with this worm!
Ahker.E uses FULL STEALTH METHOD to fool the user and the system!
Ahker.E infects the system without the knowledge of the user which is bad!

Ezt a következő sorok valamelyike követi:
– Security Response suggests you to download the removal tool for this threat located in the attachment.
This tool will scan your system in order to find the worm then removes it.
Please hurry before the worm mutates!
Good luck!
Symantec (c) 2004-2005
– Microsoft suggests you to download the removal tool for this threat located in the attachment.
Microsoft (c) 2004-2005
– Trend Micro suggests you to download the removal tool for this threat located in the attachment.
Trend Micro (c) 2004-2005

Csatolmány: Removal Tool.zip

A féreg paraméterei

Felfedezésének ideje: 2005. február 23.
Utolsó frissítés ideje: 2005. február 23.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 14.882 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a bazzi.exe állományt a Windows mappában, valamint a micho.exe és a bado.exe file-okat a felhasználói profilt tartalmazó könyvtárban
– létrehozza a Windows könyvtárban a firewall.dll file-t, ami az ˝Agent Hacker rules!˝ szöveget (is) tartalmazza
– létrehozza a System mappában az svcpack.dll állományt, ami nem jelent veszélyt a rendszerre
– hozzáfűzi a következő üzenetet az ugyanitt található hal.dll file-hoz: ˝Genes don´t contain any record of humain history, you´ll NEVER catch me!(Agent Hacker – Bazzi)˝
– hozzáadja a Generic Host Process for Win32 Services=bazzi.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz, illetve egy szintén erre az állományra mutató bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices és a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/windowsupdate/auto update/ kulcshoz
– lecsökkenti a rendszer védelmét számos szolgáltatás letiltásával vagy kikapcsolásával (például Registry módosító eszközök és a Task Manager futásának letiltása)
– a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControl/ComputerName kulcs computername bejegyzésének értékét Agent Hacker-re módosítja, így megváltoztatja a megtámadott PC nevét
– a HKEY_CLASSES_ROOT/txtfile/shell/open/command Registry kulcs alapértékét bazzi.exe %1-re állítja, így minden egyes alkalommal lefut a féreg, ha a rendszert használó egy .txt állományt nyit meg
– megkísérli letörölni a következő Registry kulcsokat:
. HKEY_CLASSES_ROOT/Identities/Changing
. HKEY_CLASSES_ROOT/Identities/IncomingID
. HKEY_CLASSES_ROOT/Identities/OutgoingID
– hozzáadja a HKEY_CLASSES_ROOT/Identities kulcshoz a következő bejegyzéseket:
. Last Username=Main Identity
. Last User ID={7DD94F27-4EFA-46C1-8546-45CE0347F328}
. Identity Ordinal=2
– hozzáadja az AssociatedID=27 4F D9 7D FA 4E C1 46 és a Server ID=8 értékeket a HKEY_CURRENT_USER/Software/Microsoft/Internet Account Manager/Accounts kulcshoz
– hozzáadja a Dir0=012345:[Program Files elérési útvonala]/Ahker.E bejegyzést a HKEY_CURRENT_USER/Software/Imesh/Client/LocalContent és a HKEY_CURRENT_USER/Software/Kazaa/Transfer alkulcshoz
– hozzáadja a következő értékeket a HKEY_CURRENT_USER/Software/Kazaa/LocalContent kulcshoz:
. Dir0=[Program Files elérési útvonala]/Ahker.E
. DisableSharing=0″
. DownloadDir=[Program Files elérési útvonala]/Ahker.E
– felülírja a winword.exe állományt, így a féreg minden alkalommal futtatásra kerül, amikor a felhasználó megnyitja a Wordöt
– a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Policies/Explorer/DisallowRun kulcsban végzett módosítások révén további szoftverek (Notepad, Wordpad, Write stb.) futását tiltja le
– a Hosts állomány módosításával számos, főként behatolásvédelmi szoftverek fejlesztésével foglalkozó cég weboldalának elérhetőségét tiltja le
– leállítja a rendszerre telepített behatolásvédelmi szoftverek és némely digitális kártevő (Blaster, Beagle stb.) futó process-eit
– DoS-támadást kezdeményez a www.windowsupdate.microsoft.com URL ellen
– letölt egy file-t egy, a geocities.com domain alá tartozó weboldalról, melyet aztán Removal Tool.ZIP néven ment el (ez a féreg egy másolata)
– megkísérel Mirc kliensek révén IRC-n keresztül terjedni
– e-mailben szétküldi magát