Pofátlan merevlemez-formázó féreg: önmagával riogatva jut be a rendszerbe

A fertőzött e-mail jellemzői

Tárgy: a következőkből választ egyet véletlenszerűen:
. Microsoft Windows LONGHORN XP
. Your XXX Password: ud78sd8df
. Alert! New Variant W32/Naco.F@mm has been detected!
. Small and Destructive
. You r a chichy boy, You r a chicky girl
. TecTV: New Anti Virus Software
. Crack for Nokia LogoManager 1.3
. Gotcha Baby!
. Seagate Baracuda 80GB for $???
. TIPs: CODE FOR CRACKING EB SERVER
. FoxNews Reporter: What
. Get Free SMTP Server at Click Here!
. Patch for Microsoft Windows XP 64bit
. Brittish Air Way will backcrupt
. Help Me plz?
. Less and More
. News: US Goverment try to make wars with Tehran.
. [üres tárgy]
Tartalom: a következők egyike
Hello dear,
I´m gonna missed you babe, hope we can see again!
In Love,
Rekcahlem ~<>~ Anacon

Hi babe, Still missing me! I have send to you a special gift I made it my own. Just for you. Check it out the attachment.
Your Love,
Rekcahlem

Great to see you again babe! This is file you want las week. Please don´t distribute it to other.
Regard,
V.C.

Attention!
Please do not eat pork! The SARS virus may come from the pig. So becareful. For more information check the attachment.
Regard, WTO

You may not see the message because the message has been convert to the attachment. Please open an attachment to see the message.
Csatolmány: Anacon32.exe

A féreg paraméterei

Felfedezésének ideje: 2003. június 12.
Védekezés elkészültének ideje: 2003. június 12.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 45.568 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

A féreg szöveges részei mind titkosításra kerültek, hogy alkotója nehezebben elemezhetővé tegye a kártevőt. Nem fordított viszont ennyi figyelmet a hibátlan működésre, ezért számos további gondot okozhat a féreg a fertőzésen felül: rendszer instabilitást, felülfertőzések miatti file-méret növekedéseket stb.

Aktiválódása esetén lezajló események

– megjelenít két üzenetet a desktopon
– megkísérli megfertőzni az összes futtatható állományt a System könyvtárban
– felmásolja magát a System könyvtárba Csrss32.exe néven
– hozzáadja az ALM=[System elérési útvonala]/CSRSS32.EXE bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a Services=[System elérési útvonala]/CSRSS32.EXE bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– hozzáadja az Under20=[System elérési útvonala]/SYSPOLY32.EXE bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz
– a HKEY_CURRENT_USER/Software/Mirabilis/ICQ/Agent/Apps/Administrator Registry kulcshoz hozzáadja az alábbi bejegyzéseket:
Startup=[System elérési útvonala]
Enable=Yes
Parameters=
Path=[System elérési útvonala]//SYSPOLY32.EXE
– megkísérli leállítani a rendszeren található behatolásvédelmi szoftverek futó processeit
– leállítja a Norton AntiVirus Auto-Protectjét
– eltávolítja a Trojan Defense Suite-ot
– letörli az összes állományt a C:/SAFEWEB könyvtárból
– ha a Microsoft IIS fel van telepítve a rendszerre, a féreg létrehozza az Anadf.txt.bat állományt, amely a következő felirattal írja felül az alábbi állományokat:
WARNING! YOUR WEB SERVER HAS BEEN HACKED BY ANACON MELHACKER.
Anacon G0t ya! By Melhacker -dA r34L #4(k3R!
. a file-ok:
default.asp
index.htm
default.htm
index.html
default.html
index.asp
– letölt egy előre meghatározott URL-ről egy állományt
– létrehozza a következő Registry kulcsokat és a legutolsó bejegyzést, melynek révén megosztja a C meghajtó gyökerét:
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Shares/Security
. HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/lanmanserver/Shares/Security
. HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/lanmanserver/Shares/Security
. HACKERz=43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,43,00,3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,00,00,54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
– az összes, fent említett Registry kulcsot a ANaN.REG nevű ideiglenes állomány révén állítja elő
– DoS támadást indít a következő IP-címek ellen:
. 212.150.63.115
. 212.143.236.4
. 62.154.244.36
. 209.61.182.140
. 198.65.148.153
. 208.40.175.222
. 161.58.232.244
. 161.58.197.155
. 194.90.114.5
. 147.237.72.91
– létrehozza önmaga másolatait a rendszerre esetlegesen telepített peer to peer file-cserélők megosztott könyvtáraiba; a lista:
/KMD/My Shared Folder/
/Kazaa/My Shared Folder/
/limewire/Shared/
/KaZaA Lite/My Shared Folder/
/Morpheus/My Shared Folder/
/Grokster/My Grokster/
/BearShare/Shared/
/Edonkey2000/Incoming/
– letörli az összes állományt a gyökérkönyvtárból
– leformattálja a D meghajtót
– a féreg ezeken felül trójai képességekkel is rendelkezik (képes állományok letöltésére is)
– több shortcutot is hozzáad a Windows Startup menüjéhez, a file-neveket véletlenszerűen hozza létre; ennek következtében rendszerinduláskor a féreg több példánya is futtatásra kerülhet, ezzel a rendszer instabilitását okozva
– MAPI használatával e-mailen továbbítja magát az összes, Windows Address Bookban található kontakt számára