Ismét támad a Mimail féregvírus

A fertőzött e-mail tulajdonságai

Tárgy, tartalom: változó
Csatolmány: három részből rakja össze:
1: my, priv, private, prv, the, best, super, great, cool, wild, sex
2: pic, img, phot, photos, pctrs, images, imgs, scene, plp, act, action
3:
.pif
.scr
.exe
.jpg.scr
.jpg.pif
.jpg.exe
.gif.exe
.gif.pif
.gif.scr

A féreg paraméterei

Felfedezésének ideje: 2004. január 26.
Utolsó frissítés ideje: 2004. január 27.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 50.720, 32.768 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja a Windows könyvtárba a következő két állományt:
. Sys32.exe – a féreg polimorf, kódolt alakja
. Outlook.exe – ez az állomány tartalmazza az előző továbbításához szükséges rutinokat
– megjelenítheti a következő hamis hibaüzenetet:
Fejléc: Windows
Törzs:: ERROR:Bad CRC32
– önmagát service process-ként regisztrálja
– hozzáadja a system=[Windows elérési útvonala]/outlook.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– működési folyamatának ellenőrzése céljából a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer kulcshoz hozzáadja a következő bejegyzéseket:
Explorer = 1
Explorer2 = 1
Explorer3 = 1
Explorer4 = 1
Explorer5 = 1
– megjelenít egy grafikus üzenetet, melyben arról tájékoztatja a felhasználót, hogy ˝lejárt˝ Windows-ának használati ideje (Windows Expiration Notification), amit úgy ˝hosszabbíthat˝ meg, ha megadja személyes és hitelkártya adatait
– az így megszerzett információkat a C meghajtó gyökerében található Mminfo2.txt és Mminfo.txt állományokban tárolja
– átnézi a cookie-kat, egy olyan után keresve, mely tartalmazza az e-golf.com domaint; ha talál, akkor az ehhez tartozó account információkat is eltárolja, szintén a C meghajtó gyökerében levő Tmpeg2.txt és Tmpgld.txt file-okban, mielőtt továbbítaná
– leellenőrzi a 80-as, a 1433-as és a 1434-es TCP portokat, hogy nyitva vannak-e, majd eltárolja ezt az információt is, mielőtt továbbítaná alkotójának
– megnyitja a 3000-es portot, így egy távoli támadó számára szélesre tárja a fertőzött rendszer kapuit
– hasonlóképpen jár el a 6667-es porttal is
– a következő könyvtárakban keres e-mailcímeket tartalmazó file-ok után:
. C:/
. C:/Program Files/
. Application Data Folder
. Desktop
. Common Programs Folder
. Startup Folder
– a kutatásból a következő kiterjesztéssel bíró file-okat hagyja ki: .com, .wav, .cab, .pdf, .rar, .zip, .tif, .psd, .ocx, .vxd, ,.mp3, .mpg, .avi, .dll, .exe, .gif, .jpg, .bmp
– saját maga polimorf változatát küldi el a fenti módszerrel megszerzett e-mailcímekre; ehhez saját SMTP-motorját használja