Vigyázat, a számítógépe megfertőződött – értesíti egy új féreg az áldozatát

A fertőzött e-mail jellemzői

Feladó: természetesen hamis, de olybá tűnik, mintha az alábbi címek valamelyikéről érkezett volna (holott nem így van):
– security@microsoft.com
– security@trendmicro.com
– securityresponse@symantec.com

Tárgy: a következő kettő közül valamelyik:
– Warning – you have been infected!
– Your computer may have been infected

Tartalom: Your message was undeliverable due to the following reason(s):
Your message could not be delivered because the destination server was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.

Csatolmány: az alábbiak egyike:
– netsky_removal.exe
– removal_tool.exe
– message.pif
– message.scr

A féreg paraméterei

Felfedezésének ideje: 2005. április 1.
Utolsó frissítés ideje: 2005. április 3.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert (U változat), 46.687 byte (V változat)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a cpu.dll file-t a System könyvtárban, illetve a következő állományokat egy, a System könyvtárban véletlenszerűen generált mappában:
• csrss.dat
• csrss.exe
• csrss.ini
– megjelenít egy álhibaüzenetet:Run-time Error
Run-time error #7: Out of memory
– létrehozhat egy parancsikont a Startup könyvtárban, csrss.lnk néven
– a következő Registry kulcsokban való bejegyzések rögzítésével minden Windows-indításkor betölteti magát:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/”Csrss” = “%System%/[random folder name]/csrss.exe”
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/”Csrss” = “%System%/[random folder name]/csrss.exe”
. HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/”run” = “%System%/[random folder name]/csrss.exe”
– a következő bejegyzéseket fertőzésjelzőként használja:
. HKEY_CLASSES_ROOT/Chode/”Installed” = “1”
. HKEY_CURRENT_USER/Software/Chode/”Installed” = “1”
– letöröl számos kulcsot a rendszerleíró adatbázisóbl annak érdekében, hogy megakadályozza a hozzájuk rögzített alkalmazások futtatását
– önmaga elrejtése érdekében a következő módosításokat végzi el:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/”Hidden” = “2”
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/”SuperHidden” = “0”
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/”ShowSuperHidden” = “0”
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ kulcs számos bejegyzését letörli, ezzel csökkentve a rendszer biztonsági szintjét; majd a Registry-t szerkesztő eszközök használatát is letiltja
– létrehoz két, a csrss.exe állományra mutató bejegyzést a rendszerleíró adatbázisban
– e-mailcímeket gyűjt a rendszer egyes állományaiból, majd (kevés kivételtől eltekintve) mindegyikre továbbítja magát
– megkísérel MSN Messengeren keresztül is terjedni, ehhez a kontaktlistában található emberek számára küld üzeneteket; néhány példa:
. check out what I just found on some stupid website
. dude check this out, it´s awesome! 😀
. haha you have to see this, I almost couldn´t believe it! :O
. holy shit you have to see this… 😐
. I just found this on a CD… you won´t believe it! 😐
. LOL! look at this, I can´t explain it it in words..
– a fenti üzenetekkel együtt egy PIF vagy SCR kiterjesztésű állományt is átküld, melynek neve a következők valamelyike lehet:
. check this out
. gross
. my sister´s webcam
. mypic
. paris hilton
. picture
. rofl
. us together
. wtf
– felülírja a hosts állományt a rendszerben, így téve elérhetetlenné számos webhely elérését
– leállítja a rendszerre telepített behatolásvédelmi (és egyéb) eszközök futó process-eit
– hátsó kaput nyit a rendszeren és egy távoli IRC-szerverhez csatlakozik, majd alkotójától érkező parancsokra vár; ennek révén a következő folyamatok válnak végrehajthatóvá a fertőzött számítógépen:
. file-ok letöltése és futtatása
. IRCD telepítése és eltávolíása
. ping, TCP vagy UDP DoS-támadások kezdeményezése
. a számítógép leállítása vagy újraindítása stb.
– megkísérli megszerezni az alábbi programokhoz használt felhasználói jelszavakat az Intelligent TCPIP.SYS patcher, a MessenPass vagy a Protected Storage PassView programok egyike révén:
. AOL Instant Messenger (in old versions)
. AOL Instant Messenger/Netscape 7
. GAIM
. ICQ Lite 4.x/2003
. Miranda
. MSN Messenger
. Trillian
.Windows Messenger (on Windows XP)
. Yahoo Messenger (Versions 5.x and 6.x)