CNN-hírek e-mailben – egyedi féregálcázó módszer

A fertőzött levél tulajdonságai

Feladó: hamis e-mailcím
Tárgy: változó, a CNN weboldaláról szedi
Tartalom: változó, a CNN weboldaláról szedi
Csatolmány: változó, a CNN weboldaláról szedi, .exe kiterjesztéssel érkezik

A féreg paraméterei

Felfedezésének ideje: 2005. január 23.
Utolsó frissítés ideje: 2005. január 24.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 26.624 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza az alábbi állományokat a megtámadott rendszeren:
. [System elérési útvonala]/services.dll
. [CommonProgramFiles elérési útvonala]/services.exe
. [Startup elérési útvonala]/services.exe
. [Templates elérési útvonala]/services.exe
– hozzáadja a Services Logon=Templates elérési útvonala]/services.exe és a Services Startup=%CommonProgramFiles elérési útvonala]/services.exe bejegyzéseket az alábbi Registry kulcsokhoz:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
– megnyit egy böngészőablakot, hogy megjelenítsen egy, a www.cnn.com domain alá tartozó weblapot
– megkísérel a www.cocorosa.ath.cx vagy a www.cocoazul.ath.cx webcímhez csatlakozni a 137-es TCP porton át
– a Windows-ban található temp mappába helyezett keys.tmp file-ba rögzíti a felhasználó által leütött billentyűk sorrendjét, melyet aztán majd elküld alkotójának e-mailen
– hátsó kaput nyit a rendszeren a 80-as TCP port megnyitásával; ezt követően a cocoazul.ath.cx webhelyhez csatlakozik, s alkotójától érkező parancsokra (cookie-t törlése, üzenetek megjelenítése, file-ok letöltése, futtatása, törlése, process-ek listázása és leállítása, számítógép újraindítása stb.) vár
– saját SMTP motorja révén elküldi magát minden e-mailcímre, melyet az Outlook Address Bookjában talál