Veszélyes, DoS támadást indító féregvírus – cél a Symantec website-ja

A fertőzött e-mail tulajdonságai

Feladó: AntiVirus@[a címzett e-mail címe]
Tárgy: Re: AVAR(Association of Anti-Virus Asia Reseachers)
vagy N´4?[regisztrált cégnév] vagy ˝Trand Microsoft Inc.˝
Tartalom: AVAR(Association of Anti-Virus Asia Reseachers) – Report.
Invariably, Anti-Virus Program is very foolish.
vagy
[regisztrált tulajdonos] – [regisztrált cégnév]
Csatolmányok: WIN[néhány karakter].TXT (12,6 KB) MUSIC_1.HTM
WIN[néhány karakter].GIF (120 byte) MUSIC_2.CEO
WIN[néhány karakter].PIF

A féreg paraméterei

Felfedezésének ideje: 2002. november 23.
Védekezés elkészültének ideje: 2002. november 25.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 89 Kbyte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: közepes
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– a processek felmérése után a behatolásvédelmi eszközök jó részét képes hatástalanítani
– hozzáadja magát a Registry-hez; Windows 9x/Me alatt a HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices kulcshoz, a többi platform alatt a HKLM/Software/Microsoft/Windows/CurrentVersion/Run és a HKCU/Software/Microsoft/Windows/CurrentVersion/Run kulcsokhoz; a következő bejegyzéssel: WIN[néhány karakter] WIN[néhány karakter].PIF
– a féreg minden futtatásakor ezekhez a kulcsokhoz új értékek kerülnek
– felmásolja magát a System könyvtárba WIN[néhány karakter].PIF néven és egyben elindít egy időszámlálót
– amennyiben a féreg indítása után 512 millisecundum eltelt, megnyit egy Make a fool of oneself fejlécű, What a foolish thing you have done! szövegű ablakot; ezzel jelzi pusztító hajlamainak beindulását
– ezután minden másodpercben megkísérli leállítani a vírusvédelmi és tűzfalszoftvereket, illetve azon könyvtár összes alkönyvtárát üresre törli, ahonnan indításra került
– amennyiben a fenti rutin nem aktiválódik, a féreg létrehoz egy mutexet, melynek neve: ~~ Drone of StarCraft~~
– amennyiben nincsen aktív Internet-kapcsolat a rendszeren (amit a féreg úgy határoz meg, hogy megkísérli a www.symantec.com oldal betöltését), a féreg felmásolja a rendszerbe a W32.Funlove.4099 vírust és futtatja is azt
– felmásolja magát a desktop könyvtárba EXPLORER.PIF néven és átnézi az összes könyvtárat HTM és DBX állományok után
– ha a keresés közben olyan könyvtárnevet tartalmaz, melyben az alábbi string(ek) megtalálható(k), letörli a bennük található összes állományt;
antivirus
cillin
nlab
vacc
– ha talál HTM vagy DBX állományt, a féreg belenéz e-mailcímek után kutatva; minden olyan címre továbbítja magát (saját SMTP motorját használva), amely nem tartalmazza a @microsoft stringet
– azok listáját, akiknek már továbbította magát, a HKCR/Software/Microsoft/DataFactory Registry kulcsban tárolja, minden egyes féregleállás után törli ezt az adatbázist
– két biztonsági hiányosságot is ki tud használni annak érdekében, hogy nagyobb valószínűséggel nyissák meg a célrendszeren a férget tartalmazó állományt
– az e-mailek elküldése után DoS támadást kísérel meg a www.symantec.com oldal ellen, annyiszor megnyitva az URL-t, ahányszor csak lehetséges