Ismét microsoftos e-mailcímről érkezik a féregvírus

A fertőzött e-mail tulajdonságai

Feladó: [az alábbi lista egy eleme]@microsoft.[de vagy at vagy com]
– Info
– Center
– UpDate
– News
– Help
– Studio
– Alert
– Patch
– Security

Tárgy: a következő kettő valamelyike:
– Microsoft Alert: Please Read! Message-ID: [(véletlenszerűen választott karakterek).qmail@microsoft.com]
– Microsoft Alarm: Bitte Lesen! Message-ID: [(véletlenszerűen választott karakterek).qmail@microsoft.com]

Tartalom:
Angol nyelvű változat
New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.

+++ ©2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19

Német nyelvű változat
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner!
F?rende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu sch?zen!

+++ ©2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

Csatolmány: [a lenti lista egy eleme][véletlenszerűen generált számjegyek].[ZIP vagy EXE]
– Patch
– MS-Security
– MS-UD
– UpDate
– sys-patch
– MS-Q

A féreg paraméterei

Felfedezésének ideje: 2004. március 7.
Utolsó frissítés ideje: 2004. március 8.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 33.792 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba egy véletlenszerűen választott file-néven
– létrehozza a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/[véletlenszerűen választott file-név] Registry kulcsot
– hozzáadja a [véletlenszerűen létrehozott string]=[System elérési útvonala]/[véletlenszerűen választott név].exe %1 bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/[véletlenszerűen választott file-név]
– felmásolja a System könyvtárba a következő állományokat:
. temp32x.data (a W32.Sober.D@mm MIME-kódolt verziója)
. wintmpx33.dat (a W32.Sober.D@mm MIME-kódolt verziója, ZIP formátumban)
. mslog32.dll (a fertőzött számítógépről begyűjtött e-mailcímek gyűjtője)
. Humgly.lkur (ideiglenes állomány)
. yfjq.yqwm (ideiglenes állomány)
. zmndpgwf.kxx (ideiglenes állomány)
– megjeleníti a következő üzeneteket:
. This patch has been successfully installed.
. This patch does not need to be installed on this system.
. Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [file-név].exe
Connection lost or blocked by Firewall
– a rendszeren található állományokból kigyűjti és a fenti állományba menti az e-mailcímeket (melyeket a System könyvtárban található mslog32.dll file-ban tárol)
– továbbítja magát a megszerzett e-mailcímekre; néhány (előre kódolt) domaint azonban kihagy