Csatolmány nélkül is képes e-mailben terjedni a legújabb Netsky féreg

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím (itt gyakran állhat dimitrihji@yahoo.com cím)

Tárgy: a következők közül választ egyet véletlenszerűen:
. Gateway Status failure
. Server Status failure
. Mail delivery failed
. Mail Delivery Sytem failure

Tartalom: a következők közül választ egyet véletlenszerűen:
. The processing of this message can take a few minutes…
. Converting message. Please wait…
. Please wait while loading failed message…
. Please wait while converting the message…

Csatolmány: nem rendelkezik csatolmánnyal, ehelyett egy olyan link kerül az e-mailbe, melyre rákattintva letöltődik és futtatásra kerül a féreg EXE állománya

A féreg paraméterei

Felfedezésének ideje: 2004. április 14.
Utolsó frissítés ideje: 2004. április 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 19.432 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba Kasperskyaveng.exe és skyav.tmp neveken
– létrehozza a _-=oOOSOkOyONOeOtOo=-_ ˝nevű˝ mutexet, megakadályozandó a memóriába való többszöri betöltődését
– hozzáadja a KasperskyAVEng=[Windows elérési útvonala]/Kasperskyaveng.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– több végrehajtási szálat is létrehoz, hogy felmérje a rendszerben található merevlemezen azokat az állományokat, melyekben e-mailcímekre bukkanhat; ezután ki is gyűjti ezeket az eléréseket
– az új verzió sem hagyott fel az utóbbi Netsky variánsok azon szokásával, hogy peer to peer és warez site-okat támadjon: 2004. április 22-e és 28-a között a következő oldalak ellen kísérel meg DoS-támadást:
. www.keygen.us
. www.freemule.net
. www.kazaa.com
. www.emule.de
. www.cracks.am
– HTTP szervert telepít, mely aztán az 5557-es porton hallgatózik
– FTP szervert is installál, ez az 5556-os porton hallgatózik; a kapcsolatok logja a C meghajtó gyökerében található, fvw.log néven
– saját SMTP-motorja révén továbbítja magát a fent említett módon összegyűjtött címekre
– két korábbi Windows-os sebezhetőséget is kihasznál szaporodása céljából:
. Microsoft Internet Explorer XML Page Object Type Validation Vulnerability
. Microsoft IE5 ActiveX ˝Object for constructing type libraries for scriptlets˝ Vulnerability