Féregvírus és trójai program egy ˝személyben˝

A fertőzött e-mail jellemzői

Tárgy, tartalom: annak érdekében, hogy minél ritkábban álljon elő ugyanaz az üzenet, egy több elemből álló lista tagjait cserélgeti mind a tárgyban, mind a levél tartalmi részében
Csatolmány: egy HTML állomány véletlenszerű néven, vagy egy olyan ZIP archívum, amely tartalmazza a fenti file-t

A féreg paraméterei

Felfedezésének ideje: 2004. április 20.
Utolsó frissítés ideje: 2004. április 21.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leállítja a rendszerre telepített behatolásvédelmi szoftverek vagy a féreg működését kijelezni képes alkalmazások futó process-eit
– önmagát service-ként regisztrálja
– létrehoz egy véletlenszerűen elnevezett mutexet, hogy megakadályozza a memóriába való többszöri betöltődését
– bemásolja magát a System könyvtárba futtatható (.exe) formátumban
– létrehoz egy véletlenszerű névvel ellátott .html vagy .folder állományt a System könyvtárban
– hozzáadja a [véletlenszerű név]=[System elérési útvonala]/[véletlenszerűen választott file-név].exe bejegyzést a következő Registry kulcsokhoz:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnceEx
– amennyiben a következő könyvtárak bármelyikére is rábukkan, bemásolja oda magát kölünböző figyelemfelkeltő neveken (Microsoft Office 2004 downloader.exe, WinRar 2004.exe, WinZip 2004.exe, WinRar 3.30.exe, All Windows Service Packs.exe stb.):
. C:/Program Files/WinMX/Shared/
. C:/Program Files/Tesla/Files/
. C:/Program Files/LimeWire/Shared/
. C:/Program Files/Morpheus/My Shared Folder/
. C:/Program Files/eMule/Incoming/
. C:/Program Files/eDonkey2000/Incoming/
. C:/Program Files/Bearshare/Shared/
. C:/Program Files/Grokster/My Grokster/
. C:/Program Files/ICQ/Shared Folder/
. C:/Program Files/Kazaa Lite K++/My Shared Folder/
. C:/Program Files/Kazaa Lite/My Shared Folder/
. C:/Program Files/Kazaa/My Shared Folder/
– a 6667-es porton hallgatózik, s amennyiben egy távoli támadó küld egy URL-t, akkor azt EXE file formájában letölti a C meghajtó gyökerébe és le is futtatja
– elindít egy végtelen ciklust, melyben process-ek kilövését és önmagának a rendszerleíró adatbázisba való felvitelét végzi
– megkísérel az IRC-hez csatlakozni, majd arra vár, hogy alkotója kihasználja backdoor képességeit
– rootkit technológiával elrejti magát a futó process-ek közül
– átnézi az összes shell mappát és a C:/Program Files könyvtárat, az itt talált WAB állományokból e-mailcímeket gyűjt, majd ezekre továbbítja is magát