A féregvírus, amivel könnyű ˝összefutni˝

A fertőzött e-mail tulajdonságai

Tárgy: a következőkből választ egyet véletlenszerűen:
. Your verification is required Confirm FFA submission and receive 1000 Credit
. Your Success Is Guranteed!
. You are Losing Income
. WHY NOT CHECK IT OUT? IT´S FREE!
. Free Software, Download it now !!
. Free MP3, OGG/VORBIS Hit Songs !!
. Download DVD Movie Now !! Its Free..!
. URGENT: Please Verify Your Submission Confirm FFA submission !!
. The E.A.S.E System Can Make You Money At Home!!
. Thank You !
. Re: Your Daily Report
. Re: Web Site Report
. WE send the TRAFFIC, YOU make the SALES!
. Thank You For Your Subscription – Confirmation
. Need a quick $100 today?
. Confirmation Email – Required !
Tartalom: több, előre elkészített változat közül választ egyet véletlenszerűen
Csatolmány: az alábbiakból választ egyet:
. SaveNow.zip
. Report.zip
. Bonus.zip
. FFA.zip
. FreeJoin.zip

A féreg paraméterei

Felfedezésének ideje: 2003. július 16.
Védekezés elkészültének ideje: 2003. július 18.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 462.848 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megjelenít egy ál-hibaüzenetet
– felmásolja magát a Windows könyvtárba Blank.scr és Kernelw32.exe néven; illetve az alábbi neveken is bekerülhet ide:
. Free.exe
. JoinNow.exe
. FreeJoin.exe
. FFAMember.exe
. Bonus.exe
. Sexy.exe
. Girls.exe
. SaveNow.exe
. Report.exe
. ItsFree.exe
– hozzáadja a Kernelw C:/[Windows elérési útvonala]/Kernelw32.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– módosítja a Win.ini file [windows] részét a következő sor hozzáadásával:
load=C:/[Windows elérési útvonala]/Kernelw32.exe; valamint beilleszti ide a következő szöveget:
[WORM]
Name=I-WORM>PERKASA
Author=Iwing/Indovirus
– módosítja a [boot] részét a System.ini file-nak az alábbi sor bevitelével:
SCRNSAVE.EXE=C:/[Windows elérési útvonala]/Blank.scr
– átnézi a rendszer összes könyvtárát és alkönyvtárát, EXE és JPEG állományok után kutatva; ha talál, felmásolja magát oda az eredeti file-néven SCR kiterjesztéssel
– átnézi a rendszer összes könyvtárát és alkönyvtárát .lnk, .doc, .xls, .mp3, .mpg, .htm, és .html állományok után kutatva; ha talál, felmásolja magát oda az eredeti file-néven, EXE kiterjesztéssel
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó processeit; illetve letörli ezen programok futtatható állományait, ha tudja
– elindítja a böngészőt és megnyitja a www.indovirus.net oldalt; ezt követően megpróbálkozik a www.sarc.com floodolásával
– amennyiben a rendszerdátum 8-a vagy 12-e, a következő üzenetet jeleníti meg:
WARNING!
The System is either busy or has become unstable you can wait and see if it becomes available again, or you can restart your Computer

* Press Any key to return to windows and wait

* Press CTRL+ALT+DEL Again to restart your computer,you will lose unsaved information,in any programs thats are runing.

* Send Complain Email to support@microsoft.com for creating This Stupid Message

A féreg terjedési mechanizmusa

1. Floppy-n keresztül

– ha van egy floppy lemez a floppy drive-ban, akkor a féreg felmásolja oda magát a következő nevek egyikeként:
.Asian*.jpg.scr
.Lesbians*.jpg.scr
.teen*.jpg.scr
.Fetish*.jpg.scr
.Blowjobs*.jpg.scr
– a nevekben a csillag jel egy véletlenszerűen válaszott számot jelöl

2. Kazaa-n keresztül

– felmásolja magát a következő könyvtárak valamelyikébe:
. C:/Program Files/KaZaA/My shared folder
. C:/KaZaA/My shared folder
– ehhez az alábbi neveket használja:
. Antiviral.exe
. Avupdate.exe
. Free_firewall.exe
. Liveupdate.exe
. Mcaff.exe
. Navupdate.exe
. Password.exe
. Sexshow.exe
. Xppatch.exe
– ezen felül további neveket is alkothat, a következő stringek kombinálásával:
. AMATEURE
. ASIAN
. Fetish
. Fisting
. Girls
. Lolita
. NUDE
. PIC
. Preeteens
. SEXY
– a fenti eljárással létrehozott nevek következő része egy véletlenszám, majd egy jpg.exe kiterjesztés következik

3. Hálózati megosztásokon

– a féreg felméri a hálózati meghajtókat és bemásolja minden drive Windows mappájába magát, ha képes erre; ehhez az alábbi neveket használja:
. Wet_And_Horny.jpg.exe
. Hot_And_Horny.jpg.exe
. SexyGirls.jpg.exe
. Asian.jpg.exe
. Lesbians.jpg.exe

4. E-mail révén

– létrehozza a C meghajtó gyökerében a következő állományokat:
. Zip.com, ami tulajdonképpen a nem fertőző Pkzip.exe
. Zip.dbg, adatállomány, amit a féreg az előző file létrehozására használ (143.524 byte)
. Zipb.bat, amit a féreg a Zip.com létrehozására használ
– Outlook segítségével a már ismertetett karakterisztikában szétküldi magát ZIP-pelt formában az e-mail kliens kontaktlistájának minden tagjához

5. Mircen keresztül

– a féreg oly módon alakítja át a mirc.ini állományt (illetve ha még nem volt, akkor létrehozza), hogy a kliens Freepic.zip néven automatikusan továbbítsa magát mások számára