Jelszótolvaj féregvírus

A fertőzött e-mail tulajdonságai

Feladó: ˝Elene˝ [FUCKENSUICIDE@HOTMAIL.COM]
Tárgy: Important information for you. Read it immediately !
Tartalom:
Hi !
Here is my photo, that you asked for yesterday.
Csatolmány: myphoto.zip

A féreg paraméterei

Felfedezésének ideje: 2004. január 23.
Utolsó frissítés ideje: 2004. január 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 17.613 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba l32x.exe és vxd32v.exe, valamint a Startup könyvtárba dllxw.exe néven
– hozzáadja a load32=[System elérési útvonala]/l32x.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a system.ini állomány [boot] részét (csak Windows 9x/Me alatt): shell=explorer.exe [System elérési útvonala]/vxd32v.exe
– létrehozhatja a HKEY_LOCAL_MACHINE/SOFTWARE/SARS Registry kulcsot
– módosíthatja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcs Shell bejegyzésének értékét explorer.exe-ről ˝explorer.exe [Windows elérési útvonala]/system32/vxd32v.exe˝-re
– az alábbi kiterjesztéssel bíró állományokból megszerzi a bennük tárolt e-mailcímeket: .htm, .wab, .html, .dbx, .tbb, .abd; ezeket az információkat a Windows könyvtárban levő winload.log file-ban tárolja
– létrehoz egy ZIP állományt, mely a férget tartalmazza, a Windows TEMP könyvtárában (zip.tmp néven), majd saját SMTP motorja révén továbbítja a már ismertetett karakterisztikában
– tobb végrehajtási szálat is indít, mindegyiknek speciális feladatot kiosztva (jelszavak, fontos információk megszerzése, TCP portok – 2283, 10000 – megnyitása, megszerzett adatok elküldése, backdoor telepítése)