Újra támad a Bugbear féreg

A fertőzött e-mail jellemzői

Tárgy: egy több elemből álló listából válogat, néhány példa:
– Hello!
– update
– hmm..
– Payment notices
– Just a reminder
– look
– history screen
– Announcement
– various
– Introduction
– Interesting…

Csatolmány: az alábbiak egyike:
– a000032.jpg .scr
– song.wav .scr
– music.mp3 .scr
– video.avi .scr
– photo.jpg .scr
– girls.jpg .scr
– pic.jpg .scr
– message.txt .scr
– image.jpg .scr
– news.doc .scr
– myphoto.jpg .scr
– you.jpg .scr
– love.jpg .scr
– readme.txt .scr

A féreg paraméterei

Felfedezésének ideje: 2004. június 26.
Utolsó frissítés ideje: 2004. június 28.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 43.520 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– bemásolja magát a System könyvtárba egy véletlenszerűen létrehozott néven, EXE kiterjesztéssel, illetve ugyanitt létrehoz három DLL állományt is, szintén véletlenszerűen generált neveken
– szintén ebben a mappában hozza létre azt a .tmp kiterjesztésű file-t, mely a férget tartalmazza zippelt formátumban, illetve ide kerül egy .nls kiterjesztésű állomány is, mely nem jelent veszélyt
– a Windows könyvtárban létrehoz több .dat és .bak file-t; ezek szintén nem jelentenek veszélyt
– hozzáad a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz egy, a fent említett EXE file-ra mutató bejegyzést
– a féreg polimorf kóddal rendelkezik, megpróbálja hozzáfűzni magát a Windows és a Program Files könyvtárakban található alábbi állományokhoz (ha azok léteznek):
. scandskw.exe
. regedit.exe
. mplayer.exe
. hh.exe
. notepad.exe
. winhelp.exe
. Internet Explorer/iexplore.exe
. adobe/acrobat 7.0/reader/acrord32.exe
. WinRAR/WinRAR.exe
. Windows Media Player/mplayer2.exe
. Real/RealPlayer/realplay.exe
. Outlook Express/msimn.exe
. Far/Far.exe
. CuteFTP/cutftp32.exe
. Adobe/Acrobat 6.0/Reader/AcroRd32.exe
. Adobe/Acrobat 5.0/Reader/AcroRd32.exe
. Adobe/Acrobat 4.0/Reader/AcroRd32.exe
. ACDSee32/ACDSee32.exe
. MSN Messenger/msnmsgr.exe
. WS_FTP/WS_FTP95.exe
. QuickTime/QuickTimePlayer.exe
. StreamCast/Morpheus/Morpheus.exe
. Zone Labs/ZoneAlarm/ZoneAlarm.exe
. Trillian/Trillian.exe
. Lavasoft/Ad-aware 6/Ad-aware.exe
. AIM95/aim.exe
. Winamp/winamp.exe
. DAP/DAP.exe
. ICQ/Icq.exe
. kazaa/kazaa.exe
. winzip/winzip32.exe
– állományok után keres, melyek olyan könyvtárakban találhatók, amik neveiben az alábbi sztringek legalább egyike szerepel:
. BEAR
. DONKEY
. DOWNLOAD
. FTP
. HTTDOCS
. HTTP
. MORPHEUS
. ICQ
. KAZAA
. LIME
. MULE
. SHAR
. UPLOAD
– ha talál ilyeneket, bemásolja oda magát az ott található file-neveken, EXE kiterjesztéssel; az ott található futtatható file-okhoz pedig hozzáfűzi saját kódját
– e-mailcímeket gyűjt a fertőzötté vált rendszeren, majd mindegyikre továbbítja magát saját SMTP-motorja révén
– létrehozhat egy másik e-mailt is, melyet alkotójának küld el; ebben a következő adatok találhatók: cookie-k, vágólap információk, billentyűzet-leütéssel szerzett adatok, szövegek megnyitott ablakokból stb.