Titkaink után kémkedő féregvírus

A fertőzött e-mail tulajdonságai

Feladó: ˝Elene˝ [FUCKENSUICIDE@HOTMAIL.COM]
Tárgy: Important information for you. Read it immediately !
Tartalom:
Hi !
Here is my photo, that you asked for yesterday.
Csatolmány: myphoto.zip

A féreg paraméterei

Felfedezésének ideje: 2004. január 25.
Utolsó frissítés ideje: 2004. január 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 14.550 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– amennyiben létezik, letörli a C meghajtó gyökeréből a 2.exe állományt (ez egyébként a féreg egy másolata)
– felmásolja magát a System könyvtárba l32x.exe és vxd32v.exe, a Startup könyvtárba dllxw.exe, valamint a Windows könyvtárában levő Temp mappába Zip.tmp néven
– létrehozza a következő állományokat a Windows könyvtárában:
. Winload.log – a féreg által talált e-mailcímeket tárolja benne
. Vxdload.log – a felhasználótól ellopott jelszavak és egyéb információk találhatók benne
. Rundllx.sys – ez az állomány azokat az adatokat tárolja, melyek a vágólapra lettek kimásolva
– hozzáadja a load32=[System elérési útvonala]/l32x.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a system.ini állomány [boot] részét (csak Windows 9x/Me alatt): shell=explorer.exe [System elérési útvonala]/vxd32v.exe
– módosíthatja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcs Shell bejegyzésének értékét explorer.exe-ről ˝explorer.exe [Windows elérési útvonala]/system32/vxd32v.exe˝-re
– létrehozhatja a HKEY_LOCAL_MACHINE/SOFTWARE/SARS Registry kulcsot
– amennyiben a fenti kulcsban levő dl értéke 0, a féreg letölt egy file-t (ez jelenleg a Spybot nevű féreg) egy előre meghatározott webcímről, majd le is futtatja azt; ezt követően a dl bejegyzés értékét 1-re állítja
– folymatosan monitorozza a vágólapot és a fent említett állományban tárolja el az oda érkező adatokat
– a leütött billentyűket szintén logolja, időszakosan az ezen információkat tartalmazó állományokat elküldi egy előre beállított e-mailcímre
– az alábbi kiterjesztéssel bíró állományokból megszerzi a bennük tárolt e-mailcímeket: .htm, .wab, .html, .dbx, .tbb, .abd; ezeket az információkat a Windows könyvtárban levő winload.log file-ban tárolja