MSN Messengert használókat veszélyeztető féreg

A féreg paraméterei

Felfedezésének ideje: 2005. március 15.
Utolsó frissítés ideje: 2005. március 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a ´-S-K-Y-´-D-E-V-I-L-´ mutexet, hogy csak egyszer töltődjön be a memóriába
– létrehozza önmaga másolatát vagy a System könyvtárban (csnss.exe), vagy a Windows mappában (svhost.exe)
– az alábbi két név egyikén is felmásolja magát a System könyvtárba: userinit.exe, mcsv.com
– a rendszermeghajtó gyökerébe felmásolja magát a következő állománynevekkel:
. Death of crazy frog!.pif
. Hot babe!.pif
. Really Cute.pif
. My piccy.pif
. Bungee-Fuck.pif
. I_love_you.123greetings.com.com
. Paris Hilton Sex Tape.pif
. Shoot Bill Gates!.exe
. Best_Friend.scr
. lol Busted Are Gay!.pif
. Saddam Song!.pif
. Me at the Beach!.pif
– számos módosítást végez a Registry-ben; egyrészt, hogy önmagát minden rendszerindításkor betöltesse a memóriába, másrészt, hogy lecsökkentse a számítógép biztonsági szintjét
– letörli az alábbi kulcsokat a rendszerleíró adatbázisból, ha azok léteznek:
. HKEY_LOCAL_MACHINE/Software/Symantec
. HKEY_LOCAL_MACHINE/Software/McAfee
. HKEY_LOCAL_MACHINE/Software/KasperskyLab
. HKEY_LOCAL_MACHINE/Software/Agnitum
. HKEY_LOCAL_MACHINE/Software/Panda Software
. HKEY_LOCAL_MACHINE/Software/Zone Labs
– a következő Registry kulcsokbók kitörli az ott rögzített bejegyzéseket:
. HKEY_CURRENT_USER/Software/Microsoft/MSNMessenger/˝AntiVirus˝
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/˝MS_LARISSA˝
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/˝SpoolSV Manager˝
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/˝MSLARISSA˝
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/˝Command Prompt32˝
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/˝(L4r1$$4) (4nt1) (V1ruz)˝
– létrehozza a 10ser.Html állományt a rendszermeghajtó gyökerében, ami megjelenít egy JPEG állományt, amit egy webhelyről töltött le
– megjelenít egy számlálót, ami azt mutatja, hogy mennyi PC fertőződött már meg a féreg által
– a Windows mappában létrehozza a LARISSA you muppet.txt file-t, ami egy nem fertőző szöveges állomány
– önmaga másolatait MSN Messengeren keresztül elküldi az összes kontaktnak; ehhez az alábbi neveket használja:
. Crazy frog gets killed by train!.pif
. Annoying crazy frog getting killed.pif
. See my lesbian friends.pif
. My new photo!.pif
. Me on holiday!.pif
. The Cat And The Fan piccy.pif
. How a Blonde Eats a Banana…pif
. Mona Lisa Wants Her Smile Back.pif
. Topless in Mini Skirt! lol.pif
. Fat Elvis! lol.pif
. Jennifer Lopez.scr
– különböző file-megosztó alkalmazások megosztott könyvtáraiba képes betelepülni; a következő helyekre:
. [rendszermeghajtó]/My Shared Folder
. [felhasználói profil elérési útvonala]/Shared
. [Program Files elérési útvonala]/eMule/Incoming
– ezekbe a könyvtárakba a következő neveken kerülhet bele a féreg: MSN Messenger 7 patch!.exe, CE/DP Stealer 2.exe, MSN Avatar Display Pack 1.0.exe
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– számos antivírus és tűzfal alkalmazást fejlesztő vállalat webhelyének elérését tiltja le a Hosts file átírásával