Tovább mutálódott a Mydoom féreg

A fertőzött e-mail jellemzői

Feladó: meghamisított e-mailcím

Tárgy: az alábbiak egyike:
– Do love
– DO LOVE
– do love photo
– Do love photo
– DO LOVE PHOTO
– Do you love me?
– DO YOU LOVE ME?
– Honey.our do love
– HONEY.OUR DO LOVE
– I love you more than the stars above.
– I LOVE YOU MORE THAN THE STARS AVOVE.
– my photo
– My photo
– MY PHOTO
– please give me a kiss
– Please give me a kiss
– PLEASE GIVE ME A KISS
– What doy you feel like doing tonight honey?
– WHAT DOY YOU FEEL LIKE DOING TONIGHT HONEY?
– [üres]
– [véletlenszerűen összedobált karakterek]

Tartalom: egyike a következőknek:
– [üres]
– [véletlenszerűen összedobált karakterek]
– If I marry you,there are going to be some ground rules.
– Sweetheart, i love you more than i can say!
– I love you more than the stars above.
– Give more photo of my.

Csatolmány: Egy .zip, .bat, .cmd, .exe, .scr vagy .pif kiterjesztésű állomány, aminek a neve a következők valamelyike:
– youbody
– youmessage
– youtest
– youdata
– youfile
– youtext
– youdoc
– dolove
– photo

A féreg paraméterei

Felfedezésének ideje: 2005. április 1.
Utolsó frissítés ideje: 2005. április 1.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba a WINLOG0N.EXE névvel
– megnyit egy szövegfile-t a NOTEPAD.EXE révén, amivel értelmetlen adatokat tud megjeleníteni a monitoron
– létrehozza a wxapi.dll és az svch0st.exe file-okat a System mappában, amivel banki account információk birtokába képes jutni
– létrehozza az alábbi Registry alkulcsok valamelyikét:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz a következő bejegyzéseket:
. WINLOG0N=[System elérési útvonala]/WINLOG0N.EXE
. Systems=[System elérési útvonala]/svch0st.exe
– módosítja a HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 alkulcs alapértelmezett értékét, mégpedig a következőre: [System elérési útvonala]/wxapi.dll; így a férget az explorer.exe fogja betölteni a memóriába
– lellenőrzi a DlDir0 bejegyzéshez tartozó elérési útvonalat a HKEY_CURRENT_USER/Software/Kazaa/Transfer kulcsban; majd felmásolja magát ide a következő neveket használva:
• QQ2005
• office_sn
• do_love_photo
• strip_girlsex_movies
• gril_photo
• MSN2005-final
• winamp6
ehhez a következő kiterjesztéseket használja: .scr, .pif, .exe, .bat
– e-mailcímek után kutat a Windows Address Bookjában és különböző file-okban
– saját SMTP-motorja révén továbbítja magát a fent meglelt címekre
– utolsó ˝ajándékként˝ hátsó kaput létesít a rendszeren egy véletlenszerű TCP port megnyitásával; ennek révén akár távoli proxy-ként is használhatóvá válik a fertőzött számítógép