Szoftverek törésének álcázott féregvírus

A fertőzött e-mail paraméterei

Tárgy: a következőkből választ egyet véletlenszerűen:
– Reply to this!
– Let´s Laugh
– Last Update
– for you
– Great
– Help
– Attached one Gift for u..
– Hi Dear
– See the attachement
Tartalom: az alábbi listából választ egyet
– For further assistance, please contact!
– Copy of your message, including all the headers is attached.
– This is the last cumulative update.
– Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
– Send reply if you want to be official beta tester.
– This message was created automatically by mail delivery software (Exim).
– It´s the long-awaited film version of the Broadway hit. Set in the roaring 20´s, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
– Adult content!!! Use with parental advisory.
Patrick Ewing will give Knick fans something to cheer about Friday night.
– Send me your comments…

A féreg tulajdonságai

Felfedezésének ideje: 2003. március 24.
Utolsó frissítés ideje: 2003. március 24.
Veszélyeztetett rendszerek: Windows NT/2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me, Macintosh, OS/2, UNIX, Linux
Mérete: 107.008 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– a következő neveken másolja fel magát a System könyvtárba: Ravmond.exe, WinGate.exe, WinDriver.exe, Winrpc.exe, Winhelp.exe, Iexplore.exe
– felmásolja a következő trójai komponenseket a System könyvtárba: Task688.dll, Kernel66.dll, Ily688.dll, Reg678.dll, 111.dll
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz az alábbi bejegyzéseket:
winhelp [System elérési útvonala]/winhelp.exe
WinGate initialize [System elérési útvonala]/WinGate.exe -remoteshell
Remote Procedure Call Locator rundll32.exe reg678.dll
– hozzáadja a run RAVMOND.EXE bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows Registry kulcshoz
– módosítja a HKEY_CLASS_ROOT/txtfile/shell/open/command kulcs default értékét, mégpedig a következőre: winrpc.exe %1
– felmásolja magát minden hálózaton keresztül megosztott könyvtárba és alkönyvtárba a következő nevek valamelyikén:
– Are you looking for Love.doc.exe
– autoexec.bat
– The world of lovers.txt.exe
– How To Hack Websites.exe
– Panda Titanium Crack.zip.exe
– Mafia Trainer!!!.exe
– 100 free essays school.pif
– AN-YOU-SUCK-IT.txt.pif
– Sex_For_You_Life.JPG.pif
– CloneCD + crack.exe
– Age of empires 2 crack.exe
– MoviezChannelsInstaler.exe
– Star Wars II Movie Full Downloader.exe
– Winrar + crack.exe
– SIMS FullDownloader.zip.exe
– MSN Password Hacker and Stealer.exe
– a 1092-es porton hallgatózik, és e-mailen keresztül értesíti a támadót (a féreg egyébként egy jelszavas azonosítási rendszerrel bír; a megfelelő jelszó bevitele után egy command shell várja a támadót)
– abban a könyvtárban, ahol futtatásra került, illetve a Windows és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Personal Registry kulcs bejegyzése által megjelölt könyvtárban ht kezdetű kiterjesztéssel bíró állományok után keres, amennyiben talál, kigyűjti belőlük az e-mailcímeket, majd ezekre továbbítja magát
– a bejövő postafiókban levő e-mailcímekre továbbítja magát a következő karakterisztikában:
Tárgy: Re: [a bejövő postafiókban levő e-mail tárgya]
Címzett: SMTP: [e-mailcím]
Tartalom:
[Név] wrote:
===
> [eredeti tartalom]
>
===

[eredeti küldő] auto-reply:

> Get your FREE [URL] account now! < If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don´t deal in lies,
Or, being hated, don´t give way to hating,
And yet don´t look too good, nor talk too wise;
… … more look to the attachment.

Csatolmány: a következőkből egy:
. the hardcore game-.pif
. Sex in Office.rm.scr
. Deutsch BloodPatch!.exe
. s3msong.MP3.pif
. Me_nude.AVI.pif
. How to Crack all gamez.exe
. Macromedia Flash.scr
. SETUP.EXE
. Shakira.zip.exe
. dreamweaver MX (crack).exe
. StarWars2 – CloneAttack.rm.scr
. Industry Giant II.exe
. DSL Modem Uncapper.rar.exe
. joke.pif
. Britney spears nude.exe.txt.exe
. I am For u.doc.exe
– a helyi hálózaton végignézi az összes számítógépet és megpróbál oda bejutni Administrator néven a következő jelszavak felhasználásával:
[üresen hagyott jelszó]
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
– amennyiben sikerül neki a bejutás, felmásolja magát a távoli számítógépre: /[távoli.számítógép.neve]/admin$/system32/stg.exe – futtatja a fenti file-t Microsoft NetWork Services FireWall service néven