Máris frissült a Messengert támadó féreg

A féreg paraméterei

Felfedezésének ideje: 2005. március 7.
Utolsó frissítés ideje: 2005. március 8.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 36.352 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– letilthatja a Registry-szerkesztő programok indítását, a parancssoros üzemmódot, a process-figyelő programok és a Task manager indítását
– létrehozza a ´-F-u-c-k-´-Y-o-u-´ mutexet, hogy csak egyszer töltődjön be a memóriába
– létrehozza önmaga rejtett másolatait a következő helyeken:
. [System elérési útvonala]/sysup.exe
. [System elérési útvonala]/msmpatch.exe
. [System elérési útvonala]/svosm.exe
. [rendszermeghajtó]/One Eye Granny pic!.pif
. [rendszermeghajtó]/Me drunk at The Sea!.pif
. [rendszermeghajtó]/Punk Lives! lol.pif
. [rendszermeghajtó]/Me Love You Long Time.pif
. [rendszermeghajtó]/Me pic.pif
. [rendszermeghajtó]/HillBilly Chick lol.pif
. [rendszermeghajtó]/Dumb Looking Goth Chick.pif
. [rendszermeghajtó]/Hot Blonde!.pif
. [rendszermeghajtó]/Modelling Her New Bikini.pif
. [rendszermeghajtó]/Crazy Japanese man kicks crazy frog!.pif
. [rendszermeghajtó]/Funny Hitler parody!.pif
. [rendszermeghajtó]/My birthday pic!.pif
. [rendszermeghajtó]/Funny Hitler parody.pif
. [felhasználói profil elérési útvonala]/Local Settings/Application Data/Microsoft/CD Burning/autorun.exe
– felmásolja rejtett attributummal a Crazy.Html file-t a rendszermeghajtó gyökerébe
– megnyit egy böngészőablakot, hogy megjeleníthesse a fenti HTML állományt
– hozzáad egy önmagára mutató bejegyzést az alábbi Registry kulcsokhoz, így intézve el, hogy minden rendszerinduláskor betöltődjön:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies
/Explorer/Run
. HKEY_CURRENT_USER/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run
– letiltja a rendszervisszaállítási funkciót a HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows NT/SystemRestore kulcs értékeinek megváltoztatásával
– elküldi önmagát az MSN Messengerben talált összes kontakt számára, a következő file-nevek egyikeként:
. Crazy frog gets killed by train!.pif
. Annoying crazy frog getting killed.pif
. See my lesbian friends.pif
. My new photo!.pif
. Me on holiday!.pif
. The Cat And The Fan piccy.pif
. How a Blonde Eats a Banana…pif
. Mona Lisa Wants Her Smile Back.pif
. Topless in Mini Skirt! lol.pif
. Fat Elvis! lol.pif
. Jennifer Lopez.scr
– különböző file-megosztó alkalmazások megosztott könyvtáraiba képes betelepülni; a következő helyekre:
. [rendszermeghajtó]/My Shared Folder
. [felhasználói profil elérési útvonala]/Shared
. [Program Files elérési útvonala]/eMule/Incoming
– ezekbe a könyvtárakba a következő neveken kerülhet bele a féreg: MSN Display picture stealer.exe, MSN Messenger 7.exe, MSN Avatar Creator.exe
– hozzáadja az OPEN=autorun.exe szöveget a [rendszermeghajtó]/Documents and Setting/[bejelentkezett felhasználó]/Local Settings/Application Data/Microsoft/CD Burning/autorun.inf állományhoz
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– számos antivírus és tűzfal alkalmazást fejlesztő vállalat webhelyének elérését tiltja le a Hosts file átírásával