W32.Blitzdung@mm – Yahoo! Messenger használók veszélyben

A fertőzött e-mail paraméterei

Tárgy: tm net support recomended by [felhasználónév]
Csatolmány: Setup32.zip
Tartalom: you have been recomended by your friend [felhasználónév]@yahoo.com to recieve or free network software which is developed by tmnet malaysia due to our sloly connection which is because we are upgrading our network to speed up your conection in LAN/WAN by 30% to do so kindly download the zip file and run the online installer to install the software for more info visite our web www.tm.net.my
NOTE you need to download and install microsoft VM befor running the application. you download it from the windows update section on www.microsoft.com or from this given link
http://www.hongkongjockeyclub.com/english/betting/MVMdownload.htm

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 12.
Utolsó frissítés ideje: 2003. február 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 28.748 byte [exe], 666 byte [ini]
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– létrehozza az alábbi file-okat a Windows könyvtárban
Activation.jar, Aws32.bat, Aws32.exe vagy install.exe, Jreg.dll, Dat.set vagy Log.txt, Mail.jar, Script.ini, Su32.dll vagy sin.exe
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz az alábbi bejegyzéseket:
hi32 [Windows elérési útvonala]/aws32.bat
je32 [Windows elérési útvonala]/su32.dll vagy [Windows elérési útvonala]/sin.exe
weq [Windows elérési útvonala]/no.exe
– a www.geocities.com URL-ről megpróbálkozik a No.zip állomány letöltésével – ez azonban nem fog menni, mert nem elérhető a file
– az e-mailező rutin lefutásához szükség van a Mail.jar és az Activation.jar állományok meglétére
– elküldi magát az összes e-mailcímre, melyet a Yahoo! Messenger logfile-jából szedett össze
– felmásolja a Script.ini állományt a Windows könyvtárba; ez a script mindig lefut, amikor egy felhasználó csatlakozik egy olyan csatornához, amelyet a fertőzött számítógép használ
– a következő üzenetet kapja a felhasználó:
[Új felhasználó] please accept the file patch.zip it has a patch that is used to kill the new mirc virus named BLITZKRIEG.A so please accept it and and install it please take note that this file will be sent to you only if you have the virus in your pc for more information go to www.mirc.com
– a fenti üzenet után a következő szöveg jelenik meg a fertőzött számítógépen:
[Fertőzött számítógép] please send the file that is being sent now to the user [új felhasználó] coz this is a patch that is used to kill a new mirc virus and this file will be send to every user who has the virus named BLITZKRIEG.A for more information about the virus go to www.mirc.com please save the mirc from shutting down
– ezek után a féreg továbbítja magát (Patch.zip), a /dcc parancs segítségével
– minden hónap 24-éjén megkísérel letörölni számos DLL állományt, melyek a rendszer részét képezik

Megjegyzés

A következő szöveg található a féreg kódjában:
HA HA HA SO YOU HAVE BEEN INFECTED ASSHOLE BY MY VIRUSE
IT IS COOL HA I CALL IT THE BLITZKRIEG
(NICE WORD SEARCH FOR ITS MEANING )
IT IS JUST TO test MY PROGRAMING ABILITY AND TO SHOW THOES LECTURERES THAT
GIVING A C IS BAD FOR PERSON LIKE ME is bad
AND ALSO IT IS VERY BAD NOT TAKE PART IN
THE PROGRAMING COMPETETION COZ I AM NOT A MALAY
WELL I AM AN INTERNATIONAL STUDENT BUT NOT AN IRANIAN NOR A SOUTH AFRICAN ASS MY E-MAIL blitzkriegiq@yahoo.com
SO DO YOU HAVE A JOB FOR ME
MMU STUDENTS SUCK