W32.Fishlet.A@mm – rendelésnek álcázott féreg

A W32.Fishlet.A@mm egy Visual Basicben írt féreg, amely saját SMTP-vel rendelkezik, így terjedése részben független az Outlooktól.

A fertőzött e-mail tulajdonságai

Címzett: Ebay Taker
Feladó: eMarket Services [orderprocesing@reply.ebay.com]
Tárgy: Order
Csatolmány: .exe
A csatolmány méretei: 20.480 byte, 40.960 byte, 57.344 byte
Tartalom: Dear eBay customer,

Thank you for using eBay Services.
_____________________________

Your order Num. is: 31547
Delivery time: 7 days

A fentiek után egy igen kedvező árú Pentium 4-es számítógépről következik információ, valamint egy felszólítás, hogy amennyiben a címzettet érdeklik a részletek is vagy le kívánja mondani a rendelést, indítsa el a csatolmányt (azaz fertőzze meg a számítógépét). A még tökéletesebb álcázás érdekében valódi, az eBay oldalára mutató linkeket is tartalmaz.

A féreg paraméterei

Felfedezési ideje: 2002. június 10.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Az alábbi események következnek be aktivizálódása esetén

– a következő állományokat hozza létre a célszámítógépen: C:/Windows/Ccfp.exe, C:/Windows/SndVx.exe, C:/Windows/Ssh261.exe, C:/Windows/Fishlet.bin (ez utóbbi egy szövegfile, amely a Windows Address Bookban található címlistát tartalmazza)
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban létrehozza a SndVX C:/WINDOWS/SndVx.exe bejegyzést, így a rendszerinduláskor automatikusan elindul a vírus is