FTP szervert csinál a PC-ből a féreg

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím, a következő domainek egyikével:
. aol.com
. msn.com
. yahoo.com
. juno.com
. fbi.gov
. cia.gov
. hotmail.com

Tárgy: a következők valamelyike:
. Good day
. hello
. Mail Delivery System
. Mail Transaction Failed
. Server Report
. Status
. Error
. [üres]
. [véletlenszerűen válogatott karakterek]

Tartalom: a következők egyike:
. Here are your banks documents.
. The original message was included as an attachments.
. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
. The message contains Unicode characters and has been sent as a binary attachment.
. Mail transaction failed. Partial message is available.
. [üres]
. [véletlenszerűen válogatott karakterek]

Csatolmány: egy .bat, .cmd, .exe, .pif, .scr vagy .zip kiterjesztésű állomány, a következő név valamelyikén:
. body
. data
. doc
. document
. file
. message
. readme
. test
. text
. [véletlenszerűen válogatott karakterek]

Megjegyzés: ha a csatolmány ZIP állomány, akkor a file-nak van egy második kiterjesztése is: .doc, .txt, .htm vagy .html

A féreg paraméterei

Felfedezésének ideje: 2005. március 16.
Utolsó frissítés ideje: 2005. március 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 54.784 byte (H változat), 49.278 byte (I változat)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba taskgmr.exe néven (illetve a H változat winnett.exe névvel is)
– hozzáad egy, a taskgmr.exe állományra mutató bejegyzést a következő kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/OLE
. HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/Lsa
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/OLE
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
– e-mailcímek után kutat a Windows Address Bookjában és különböző állományokban
– a fent ismertetett karakterisztikában e-maileket küld saját SMTP-motorja révén az összegyűjtött címekre
– FTP szervert indít a 1000 és a 65535 TCP portok között egy véletlenszerűen kiválasztott porton
– megkísérel csatlakozni az irc.blackcarder.net domainhez a 6667-es TCP porton át, és alkotójától érkező parancsokra várakozik, melyek a következők lehetnek:
. file-ok letöltése, letörlése, lefuttatása
. önmaga frissítése
. a számítógép működési idejének megszerzése
– olyan számítógépek után kutat, melyek a Windows Local Security Authority Service Remote Buffer Overflow sebezhetőségnek ki vannak téve
– a H változat megkísérli magát felmásolni a helyi hálózaton levő számítógépek megosztásaiba taskgmr.exe néven
– a System/drivers/etc/hosts állományban olyan módosításokat végez, aminek következtében számos antivírus technológiával foglalkozó cég website-ja elérhetetlenné válik