Hálózati adatforgalmat logoló féreg

A fertőzött e-mail jellemzői
Tárgy: a következők közül egy:
. OK. Read the attached instructions to solve the problem.
. Here are the details.
. Re: Thank you for your choice.
. Thank you for shopping. This mail contains your invoice.
. Thank you. Your credit card was processed successfully.

Csatolmány: a féreg véletlenszerűen választ egy nevet a bejelentkezett felhasználó profiljában (User Profile) található Recent könyvtárban levő állományok neve alapján; a kiterjesztés .zip lesz

A féreg paraméterei

Felfedezésének ideje: 2005. május 1.
Utolsó frissítés ideje: 2005. május 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 118.272 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– a következő neveken másolja be magát a Windows könyvtárba: smss.exe, lsass.exe, csrss.exe, services.exe, winlogon.exe
– létrehozza a Windows Object Manager nevű service-t
– hozzáadja a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_WINDOWS_OBJECTS_MANAGER/0000/Control Registry kulcshoz a “NewlyCreated*” = “0” és az “ActiveService” = “Windows Objects Manager” bejegyzéseket
– a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_WINDOWS_OBJECTS_MANAGER/0000 kulcsba a következő bejegyzéseket rögzíti:
. “Service” = “Windows Objects Manager”
. “Legacy” = “1”
. “ConfigFlags” = “0”
. “Class” = “LegacyDriver”
. “ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
. “DeviceDesc” = “COM+ System Application “
– a fentieken túl további módosításokat is végez a rendszerleíró adatbázisban
– e-mailcímek után kutat a népszerűbb internetes keresőmotorok használatával
– a fent ismertetett karakterisztikában elküldi magát minden címre, amit talált
– olyan számítógépek után kutat a helyi hálózaton, melyek ki vannak téve a Windows LSASS Buffer Overrun Vulnerability-nek, ezekbe megpróbál behatolni
– elkezdi figyelni a hálózati adatforgalmat annak érdekében, hogy jelszavakhoz juthasson hozzá
– minden állományt letöröl, amit a Windows repair mappájában talál