DivX kodeknek (is) álcázott féregvírus terjed

A fertőzött e-mail paraméterei

Tárgy: Hi, I sent you an eCard from BlueMountain.com
Csatolmány: BlueMountaineCard.pif
Tartalom: To view your eCard, open the attachment
If you have any comments or questions, please visit http://www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.

A féreg tulajdonságai

Felfedezésének ideje: 2003. március 31.
Utolsó frissítés ideje: 2003. április 1.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 8.192 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba Wuauqmr.exe néven, rejtett attributummal
– ugyancsak itt létrehozza az Awqewqed.dll állományt, mely a féreg MIME64 kódolt változata
– hozzáadja a NvCpTdaemon wuauqmr.exe bejegyzést a következő Registry kulcsokhoz:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
– még mindig a System könyvtárban, létrehozza a Jdfghtrg nevű könyvtárat, ahova felmásolja magát különböző neveken; néhány példa:
. SMS_sender.exe
. DivX 5.03 Codecs.exe
. Download accelarator.exe
. PaintShop Pro 7 Crack_By_Force.exe
. ZoneAlarm Pro KeyGen.exe
. Winupdate.exe
– hozzáadja a Dir0 012345:[System elérési útvonala]/jdfghtrg/ bejegyzést a HKEY_CURRENT_USER/SOFTWARE/KAZAA/LocalContent Registry kulcshoz, így más Kazaa felhasználók is letölthetik a férget
– Windows 9x/Me alatt service processként regisztrálja magát
– véletlenszerűen hoz létre e-mail neveket, a következő címek használatával:
. Email.com
. BellAtlantic.net
. Verizon.net
. Btinternet.com
. Gmx.de
. Gmx.net
. sympatico.ca
. wanadoo.fr
. wanadoo.nl
. planet.nl
. adelphia.net
. hotmail.com
. earthlink.net
. otenet.gr
. chello.pl
. chello.nl
– elküldi magát a fent említett karakterisztikában az imént létrehozott címekre
– értesíti a hackert, a következő URL-ekhez csatlakozik: chat.planet.nl vagy www.chat-planet.nl
– több, véletlenszerűen választott TCP portot is megnyit