Ismét féreg érkezik microsoftos e-mailcímről

A fertőzött e-mail jellemzői

Feladó: support@microsoft.com – ez természetesen meg van hamisítva
Tárgy: Microsoft Security Bulletin
Tartalom: Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390)

Summary
Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP
Impact of vulnerability: Run code of an attacker´s choice

Maximum Severity Rating: Critical

Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately.
Csatolmány: patch.zip vagy patch_329390.exe

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 19.
Utolsó frissítés ideje: 2003. augusztus 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 104.448 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja a Windows könyvtárba a Zlib.dll állományt, amely egy nem fertőző tömörítőeszköz
– a 61282-es porton hallgatózik, alkotójától érkező parancsokra várva
– megjelenít egy párbeszédablakot, melyben arról tájékoztatja a felhasználót, hogy ˝frissíti a rendszert˝
– az ablakban található OK gombra kattintva a CPU Manager = [Windows elérési útvonala]/cpumgr.exe bejegyzést rögzíti a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban; illetve a Type=High bejegyzést a HKEY_USERS/.DEFAULT/Software/Microsoft/Windows Registry kulcsban
– felmásolja a Windows könyvtárba a következő állományokat:
. Cpumgr.dll: a féreg kódolt változata
. Cpumgr.exe: a féreg futtatható változata
. Pdmn.smt: a helyi számítógépről tartalmaz információkat
. Photo.zip: egy tömörített állomány, ami a férget tartalmazza
– ismét megjelenít egy párbeszédablakot, ebben azt állítja, hogy ˝megpatch-elte˝ a rendszert, illetve megköszöni a számítógép tulajdonosának a Microsoft Windows használatát
– az OK gomb megnyomásával a féreg memória-rezindes marad, majd egy idő után a rendszerre feltelepített népszerűbb file-cserélő szoftverek megosztott könyvtárában file-okat hoz létre
– megkísérli elérni a www.google.com website-ot, hogy leellenőrizze, van-e Internet-kapcsolat
– amennyiben a fenti ellenőrzés sikerrel jár, e-mailen keresztül nekilát terjeszteni magát
– ezt követően megkísérel egy üzenetet küldeni alkotójának az újonnan megfertőzött gazdagépről