A Registry-t alaposan átíró féreg terjed

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: egy előre elkészített listából válogat, néhány példa:
– Re:Question
– Re:ICQ Password
– Warning!!!
– Free Handy Ringtones
– Green Card?
– Check this!
– Winxp problem
– winxp error
– Help me!
– Hi,baby
– Details
– Important

Tartalom: egy nagyméretű listából választ ki egy mondatot, néhány példa:
– Can you help me?
– Check the attachment.
– Windows fatal error
– Please check this error
– I have a very big problem
– Can you help me
– See the attachment
– Read this interesting news info 🙂

Csatolmány: néhány példa:
– photo.pif
– pic.pif
– winupdate.asp?=072344.pif
– details.htm.pif
– answer.txt.exe
– attachment.doc.exe

A féreg paraméterei

Felfedezésének ideje: 2005. január 21.
Utolsó frissítés ideje: 2005. január 23.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 43.520 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjeleníti a következő álhibaüzenetet: The file is either in unknow format or damaged!
– felmásolja az alábbi állományokat a System könyvtárba:
. kbdbg.exe
. bgHacKeR$.exe
. mymind.exe
. open.exe
. Q-We are the champions.exe
. Microsoft SuxX.exe
– felmásolja a winserv.ila file-t a Windows, a free01.exe-t a gyökér, a lservice.exe és a sservice.ila állományokat pedig a C:/Documents and Settings/All Users/Start Menu/Programs/Startup könyvtárba
– létrehozza a Winserv=[Windows elérési útvonala]/Winserv.ila bejegyzést a következő Registry kulcsokban:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– hozzáadja az alábbi bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon kulcshoz:
. System=[Windows elérési útvonala]/Winserv.ila
. LegalNoticeCaption=:: My Message :
. LegalNoticeText=FREE THE BULGARIAN MEDICS IN LIBYA
– letölti és lefuttatja a Mindos nevű trójai programot a megtámadott rendszeren
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– a System/drivers/etc/hosts állomány módosításával elérhetetlenné tesz számos weboldalt
– rengeteg Registry kulcsot (HKEY_CLASSES_ROOT/[kiterjesztés]/(default) = “”) módosít, melyek révén eléri, hogy az adott kiterjesztésű állományok megnyitásához rendelt alkalmazással többé ne kerüljön futtatásra az adott file
– különböző, a rendszerleíró adatbázisban végzett bejegyzés-módosításokkal eléri, hogy a rendszer biztonsági beállításai alacsonyabb szintre csökkenjenek
– létrehozza az alábbi, nem fertőző állományokat a következő helyeken:
. C:/index.htm
. C:/mymesg.txt
. [Windows elérési útvonala]/sysilani.ini
– file-megosztó alkalmazások után keres, ha talál, akkor azok megosztási könyvtárába felmásolja magát; néhány példa a file-névre:
. Winamp Final 5.11.exe
. Hotmail_hack.exe
. Google_hacks.exe
. WinRar.exe
– MAPI révén elküldi magát minden e-mailcímre, amit az Outlook address bookjában talál
– leellenőrzi a /www vagy a /php mappa meglétét, és ha létezik, létrehozza a következő file-okat egy HTML-es üzenettel a belsejükben: index.htm, index.asp, index.php
– megkeresi a Mirc könyvtárát, ha az telepítve van a rendszeren, és felülírja a script.ini állományt, így a féreg képes magát IRC-n keresztül is terjeszteni, BigBrother.exe néven, és a következő üzenetet használva: ˝If you are BigBrother Fan 😛 Look this clip;)˝