Rendszerünket kinyitó új féreg szaporodik

A fertőzött e-mail jellemzői

Több, előre elkészített e-mailből válogat.

Tárgy: Hehehe LOL!!
Tartalom: I just saw this on my computer from a while ago
download it and see if you can remember 😉
lol i was lauging like crazy when i saw! 😀
email me back hehe…

Tárgy: Your Photo Is On A Webpage!!
Tartalom: I was veiwing this website and came across
a picture they look just like you! infact im sure
it is haha , did you email this pic into them ? or
is it someonce elses that looks like you :S ? pic is attached
in zip file so download it and see then email me back!

Tárgy: Hey Rate My Pic Plz…
Tartalom: Hi ive sent out 4 emails now & nobody will rate
my photo! 🙁 please download and tell me your opinion
rated out of 10 , its ok if you dont like it
just say i wont be offended p.s i was drunk when
it was taken haha 🙂

Tárgy: Someone Admire´s You!
Tartalom: Someone has asked us on there behalf to send
you this email and tell you they think you are
Amazing!! All the The secret persons details
you need are enclosed in the attachment 🙂
please download and respond telling us if you
would like to make further contact with this
person.
Regards Hallmark Admirer´s Admin.

Tárgy: Hey Hows It Goin ?
Tartalom: my name is turd i am 16 and poop on
trees after long walks in the park then i jump off
high buildings hahahahha rolf email me im lazy
and smell of manure

Csatolmány:
A változat: Attachement.zip, mely a következő állományok egyikét tartalmazza:
– win32exe.exe
– winlogons.exe
– Just_For_You.pif
– winis.exe
– YourPic.scr
– Lover_01.scr
– Your_pic.scr

B változat: az alábbiak közül egy:
– IMG_001.scr
– Sexy_02.scr
– Scanned_03.scr
– Photo_01.pif
– Admirer_005.scr
– Your_pic.scr
– Lover_01.scr
– Just_For_You.pif

A féreg paraméterei

Felfedezésének ideje: 2005. április 14.
Utolsó frissítés ideje: 2005. április 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 286.594 byte (A változat), 290.611 byte (B változat)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– az alapértelmezett böngészővel megnyitja a www.[domain].com/forums/LOL-AlbinoGorrilla.jpg linket
– létrehozza a következő file-okat a System könyvtárban:
• netstat.com (sérült futtatható file)
• ping.com (sérült futtatható file)
• tracert.com (sérült futtatható file)
• tasklist.com (sérült futtatható file)
• taskkill.com (sérült futtatható file)
• regedit.com (sérült futtatható file)
• cmd.com (sérült futtatható file)
• wini.exe (a W32.Spybot.Worm másolata)
• xtc.tmp (a féreg másolata)
• Attachement.zip (a féreg másolatának ZIP-be tömörített változata)
• bszip.dll (egy ártalmatlan DLL, amely ZIP archívumok kezelésére használatos)
• ANSMTP.DLL (egy ártalmatlan DLL, amely az e-mailezéshez szükséges)
– létrehozza a következő Registry kulcsokat, az ANSMTP.DLL telepítése végett:
• HKEY_CLASSES_ROOT/ANSMTP.OBJ.1
• HKEY_CLASSES_ROOT/ANSMTP.OBJ
• HKEY_CLASSES_ROOT/ANSMTP.MassSender.1
• HKEY_CLASSES_ROOT/ANSMTP.MassSender
• HKEY_CLASSES_ROOT/CLSID/{253664FB-EDFC-4AC6-BD69-B322F466AEED}
• HKEY_CLASSES_ROOT/CLSID/{887A577B-406B-48FF-80CB-70752BFCD7B4}
• HKEY_CLASSES_ROOT/Typelib/{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
• HKEY_CLASSES_ROOT/Interface/{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
• HKEY_CLASSES_ROOT/Interface/{1E98666F-6260-42C9-B846-32B20fDEFE7B}
• HKEY_CLASSES_ROOT/Interface/{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
• HKEY_CLASSES_ROOT/Interface/{B13281CF-8778-4C98-AE23-ABBA4637A33D}
– e-mailcímeket gyűjt az MSN Messenger és a Yahoo kontaktlistájából
– a fent ismertetett karakterisztikában elküldi magát a megszerzett e-mailcímekre
– lefuttatja a wini.exe állományt (ami a W32.Spybot.Worm másolata)
– hozzáadja az “xpstart” = “wini.exe” (A változat) vagy az “IE Runtime” = “wini.exe” (B változat) bejegyzést az alábbi kulcsokhoz:
• HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
• HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
• HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/OLE
• HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
• HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
• HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
• HKEY_CURRENT_USER/SOFTWARE/Microsoft/OLE
• HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/Lsa
– módosítja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/OLE EnableDCOM bejegyzését “N”-re
– a HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/Lsa kulcsban elvégzi a következő módosítást: “restrictanonymous” = “1”
– felmásolja a W32.Spybot.Worm férget a System könyvtárba wini.exe néven
– felveszi a paris-hack.com:8080 címen található IRC-szerverrel a kapcsolatot, és utasításokra vár