256 bites titkosítószoftver… helyett féregvírus e-mailben

A fertőzött e-mail jellemzői

Tárgy: a következőkből választ egyet véletlenszerűen:
. Do you happy?
. Riyadh Issue: Al-Qaeda vs FBI
. Osama Bin Laden Come Back!
. Al-Qaeda News: Bombing Mission Success!
. Check This Out!
. Re: can mali can!
. Al-Qaeda Team Entertainment News
. [AQTE News]
. Al-Jazeera: AQTE Come back!
. Hi, may I read your mind?
. Acheh Issue: What Solution!
. Saddam Hussein Still alive
. Iraqi people don´´´´t want US Control.
. Let´s Iraqi people build their country.
. Download New 256-Bit Encryption Software
. Alert! W32.HLLW.Anacon@mm Worm Has been detected!
. Register you Windows Now!
. Get free update Microsoft Windows Media Player
. TIPS: How to hide your IP Address!
. How to Protect you PC from Hackers!
. [Üres Tárgy]
Tartalom: Hi dear,
Once I was first saw you, I was fall in love! Even you are already has special friend!
Fall In Love,
Rekcahlem ~=~ Anacon
Csatolmány: Anacon.exe

A féreg paraméterei

Felfedezésének ideje: 2003. május 19.
Védekezés elkészültének ideje: 2003. május 21.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 29.184 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System könyvtárban, Anacon.exe néven
– létrehozza az alábbi Registry kulcsokban a következő bejegyzéseket annak érdekében, hogy minden rendszerindításkor elinduljon maga a féreg is:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run, AHU = [System elérési útvonala]/Anacon.exe
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices, Hvewsveqmg = [System elérési útvonala]/Anacon.exe
. HKEY_CURRENT_USER/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Run, Cvfjx = [System elérési útvonala]/Anacon.exe
– a következő változtatásokkal hálózati elérésre megosztja a C meghajtót (habár ezt tesztkörnyezetben nem lehetett újra előállítani):
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Shares, HACKERz
. HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/lanmanserver/Shares, HACKERz
. HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/lanmanserver/Shares, HACKERz
– az összes, fent említett Registry kulcsot a COSN.REG nevű ideiglenes állomány révén állítja elő, mégpedig a következő paranccsal: regedit /s COSN.REG; ennek a műveletnek a végrehajtása után ez az állomány megsemmisítődik
– leállítja a saját listájában szereplő, és az operációs rendszerre esetlegesen feltelepített behatolás- és vírusvédelmi szoftverek futó processeit (ezt a funkciót tesztkörnyezetben nem lehetett újra előállítani)
– az Outlook Address Bookjában található összes kontakt számára továbbítja magát a fent ismertetett karakterisztikában
– létrehozza önmaga másolatait a rendszerre esetlegesen telepített peer to peer file-cserélők megosztott könyvtáraiba; a lista:
/KMD/My Shared Folder/
/Kazaa/My Shared Folder/
/limewire/Shared/
/KaZaA Lite/My Shared Folder/
/Morpheus/My Shared Folder/
/Grokster/My Grokster/
/BearShare/Shared/
/Edonkey2000/Incoming/
– ehhez az alábbi, figyelemfelkeltő neveket használja:
. X-Men II Trailer.mpg.exe
. The Matrix Reloaded.jpg.exe
. Jonny English (JE).avi.exe
. EmpireEarthII.msi.exe
. Setup.exe
. JumpingJumping.exe
. SuperMarioBrother.exe
. YoungAndNotTooDangerous.exe
. Nokia8250Series.exe
. About SARS Solution.doc.exe
. Dont eat pork.. SARS in there.jpg.exe
. Mesmerize.exe
. MSVisual C++.exe
. Installer.exe
. Q544512.exe
. jdbgmgr.exe
. WindowsXP PowerToys.exe
. WMovie Maker II.exe
. WindowsUpdate.exe
. SEX_HOT.exe
– amennyiben a Microsoft IIS telepítve van a rendszerre, a féreg megkísérli létrehozni az Anadeface.bat állományt, amely futtatásával a következő események történnek:
. a /Inetpub/wwwroot/ könyvtárban levő állományok egy részét átnevezi, a következőképp:
index.htm -> Anacon_Index.htm
index.html -> Anacon_Index.html
index.asp -> Anacon_Index.asp
default.htm -> Anacon_Default.htm
default.html -> Anacon_Default.html
default.asp -> Anacon_Default.asp
. az eredeti állományokat felülírja a következő szöveggel:
I WARN TO YOU! DON´T PLAY STUPID WITH ME! ANACON MELHACKER WILL SURVIVE!, Anacon, Melhacker, Dincracker, PakBrain and AQTE
Anacon G0t ya! By Melhacker – The Real Hacker!
– a féreg ezeken felül trójai képességekkel is rendelkezik (képes állományok letöltésére is), emellett fel tudja venni alkotójával a kapcsolatot ICQ-n keresztül