Gyorsan terjed a Netsky Y változata is

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím

Tárgy: Delivery failure notice (ID-[véletlenszám])

Tartalom: az alábbi üzenet, ahol a [választott szó] a New, Partial, External, Delivered szavak valamelyike:
— Mail Part Delivered —
220 Welcome to
Mail type: multipart/related
— text/html RFC 2504
MX [Mail Exchanger] mx.mt2.kl.[választott szó]
Exim Status OK.
[választott szó] message is available.

Csatolmány: www.[domain név].[felhasználónév].session-[véletlenszám].com

A féreg paraméterei

Felfedezésének ideje: 2004. április 20.
Utolsó frissítés ideje: 2004. április 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 19 Kbyte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba FirewallSvr.exe néven
– létrehozza a ____—>>>>U<<<<--____ ˝nevű˝ mutexet, megakadályozandó a memóriába való többszöri betöltődését
– hozzáadja a FirewallSvr=[Windows elérési útvonala]/FirewallSvr.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a Windows könyvtárban létrehozza önmagának MIME-kódolt változatát fuck_you_bagle.txt névvel
– a 82-es TCP porton hallgatózik, s amennyiben a támadó EXE file-t küld, lefuttatja
– amennyiben a rendszerdátum 2004. április 28-a és 30-a közé esik, a féreg DoS-támadást kísérel meg a következő weboldalakkal szemben:
. www.nibis.de
. www.medinfo.ufl.edu
. www.educa.ch
– felméri a rendszerben található merevlemez(ek)en azokat az állományokat, melyekben e-mailcímekre bukkanhat; ezután ki is gyűjti ezeket az eléréseket
– saját SMTP-motorja révén továbbítja magát a fent említett módon összegyűjtött címekre és a hukanmikloiuo@yahoo.com e-mailcímre
– önmaga elküldésére az alapértelmezett DNS szervert használja fel, hogy megszerezze az e-mailszerver IP-címét; amennyiben ez nem sikerülne, a benne előre eltárolt címek valamelyikét próbálja ki