Kritikus Windows frissítésnek álcázott féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: Microsoft Windows Critical Update.
Tartalom: Critical Update: The Microsoft Windows updates found on this patch include fixes to following Windows operating systems: Any update that is critical to the operation of your computer is considered a Critical Update, and is automatically selected for installation during the scan for available updates. This patch is provided to help resolve known issues, and to protect your computer from known security vulnerabilities and all kinds of viruses. Whether a patch applies to your operating system, software programs, or hardware, it is listed in the Critical Updates category, like this patch attached. For Support please contact us at support@microsoft.com.
Csatolmány: Windows Critical Update 088562.exe

A féreg paraméterei

Felfedezésének ideje: 2003. július 13.
Védekezés elkészültének ideje: 2003. július 14.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 102.400 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: nehéz

Aktiválódása esetén lezajló események

– megkísérli törölni a következő állományokat:
C:/Autoexec.bat
C:/Config.sys
C:/WINNT/System32/*.dll
C:/WINNT/System32/Ntoskrnl.exe
C:/WINNT/System32/Command.com
C:/WINNT/Regedit.exe
C:/Windows/System32/Ntoskrnl.exe
C:/Windows/System32/Command.com
C:/Windows/Regedit.exe
C:/WINNT/System32/*.exe
C:/WINNT/System32/*.com
C:/WINNT/System32/*.ocx
C:/Windows/System32/*.dll
C:/Windows/System32/*.ocx
C:/Windows/System32/*.exe
C:/Windows/System32/*.com
– felmásolja a C meghajtó gyökerébe a Rundll32.exe állományt (rejtett attributummal)
– felmásolja magát a C:/windows/Program Files/Kazaa/My Shared Folder könyvtárba Windows XP KeyGen 2.5.exe néven
– az alábbi Registry kulcsok alapértékét változtatja meg oly módon, hogy az a féreg állományára mutasson:
. HKEY_CLASSES_ROOT/exefile/shell/open/command
. HKEY_CLASSES_ROOT/comfile/shell/open/command
. HKEY_CLASSES_ROOT/batfile/shell/open/command
. HKEY_CLASSES_ROOT/piffile/shell/open/command
. HKEY_CLASSES_ROOT/htafile/shell/open/command
. HKEY_CLASSES_ROOT/htfile/shell/open/command
– a következő Registry módosításokat végzi el:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
MediaPath=C:/Proyecto1.exe
. KEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
Rundll32.exe=C:/Rundll32.exe
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEX
DevicePath =C:/Proyecto1.exe
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/SETUP
NetCache=C:/Proyecto1.exe
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
ProxyDevice=C:/Proyecto1.exe
. HKEY_CURRENT_USER/Software/kIlLeRgUaTe 1.03
– megjelenít egy álhibaüzenetet, amiben arra ˝figyelmezteti˝ a felhasználót, hogy hibás működést tapasztalt a Windowsban, és ezt továbbítsa-e a Microsoftnak; ha az itt megjelenő gombokra kattint a felhasználó, különböző események következhetnek be:
. Send Error – megjelenít egy hamis hibalogot
– Send and Close – többszörösen megnyitja a Control Panelt és a CD-ROM tálcáját; megjeleníti a féreg készítőjének üzenetet; letiltja a System Tray-t; eltünteti a Task Bart illetve az összes ikont – csak a megnyitott ablakok maradnak
– az Outlook Address Bookjában található összes kontakt számára továbbítja magát