Egeret és billentyűzetet lebénító féregvírus

A fertőzött e-mail jellemzői

A tárgy mezőben a következők egyike található meg:
– Fw:
– Re:
– You gonna love it
– Here is what u wanted
– Check this out 😉
– Enjoy!
– This is all i can send
– Have Fun 🙂
– Wait for more 🙂
– looool
– Take a look
– Never mind !
– See the attatched file
– gift 🙂
– Surprise!
– save it for hard times
– Happy Times 🙂
– Useful
– Very funny
– Try it
– you have to see this!
– emazing!

A féreg paraméterei

Felfedezésének ideje: 2003. szeptember 28.
Utolsó frissítés ideje: 2003. szeptember 29.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/Server 2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 56.614 byte, 20.992 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba 2.sys néven
– létrehozza az alábbi állományokat a Temp könyvtárban:
. Explore.exe (20.992 byte); rejtett, csak olvasható és rendszer attributummal
. A.exe (9.216 byte)
. SMTP.ocx (25.737 byte)
– az A.exe elindítását követően létrehozza önmaga másolatait a System könyvtárban, a következő neveken: a.bat, a.com, a.exe, a.pif, a.scr, a.sys
– bemásolja az Explore.exe és az SMTP.ocx állományokat ugyanide
– hozzáadja az Explore=[System elérési útvonala]/explore.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz

Terjedési mechanizmus

– az Explorer.exe a féreg terjedési rutinjáért felelős komponense, ennek indításakor a következő események következnek be:
– hozzáadja az ˝a˝ értéket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows Registry kulcshoz, melyet fertőzöttségi jelzőnek használ
– megváltoztatja az Internet Explorer kezdőlapját a www.geocities.com/yori_mrakkadi URL-re
– hozzáadja a DeathTime bejegyzést a HKEY_CURRENT_USER Registry kulcshoz; ennek értéke minden egyes Explorer.exe indításkor eggyel nő, ha eléri a harmincat, a féreg letiltja az egeret és a billentyűzetet
– megkeresi a rendszerleíró adatbázisban a Kazaa letöltési könyvtárát
– a következő kiterjesztésű állományok után kutat: .doc, .jpg, .mdb, .pps, .ram, .xls és .zip; ezen file-ok nevein felmásolja magát a fent említett könyvtárba
– a bejelentkezett felhasználó e-mailcímét és alapértelmezett SMTP-szerver IP-címét is megszerzi
– e-mailcímeket keres a következő kiterjesztéssel bíró állományokban: .htm, .html, .eml és .txt; illetve az Outlook Address Bookjában és az MSN Messenger kontakt listájában
– az SMTP.ocx állomány révén továbbítja magát a fent előállított állományok egyikeként a kontaktok számára
– megszerzi és egy előre meghatározott e-mailcímre továbbítja a rendszer hálózati információit